ISO 27001: সাইবার সিকিউরিটির আন্তর্জাতিক মানদণ্ড অর্জনের পূর্ণাঙ্গ গাইডলাইন!

ISO/IEC 27001 হলো International Organization for Standardization এবং International Electrotechnical Commission যৌথভাবে প্রকাশিত একটি মান, যা একটি Information Security Management System বা ISMS প্রতিষ্ঠা, বাস্তবায়ন, পরিচালনা এবং ধারাবাহিক উন্নতির জন্য প্রয়োজনীয় শর্তাবলী নির্ধারণ করে। প্রথম প্রকাশিত হয় ২০০৫ সালে, এবং সর্বশেষ প্রধান সংশোধন ২০২২ সালে—যা ISO/IEC 27001:2022 নামে পরিচিত।

এই মানের তাৎপর্য বহুমুখী। প্রথমত, এটি একটি প্রতিষ্ঠানকে তথ্য নিরাপত্তা ঝুঁকি পদ্ধতিগতভাবে চিহ্নিত, মূল্যায়ন ও মোকাবেলার কাঠামো প্রদান করে। দ্বিতীয়ত, GDPR, HIPAA, NIS2, ডিজিটাল অপারেশনাল রেসিলিয়েন্স অ্যাক্ট-এর মতো বহু নিয়ন্ত্রক প্রয়োজনীয়তার সঙ্গে মিলিয়ে নেওয়ার ভিত্তি তৈরি করে। তৃতীয়ত, ব্যবসায়িক সুবিধা—অনেক বহুজাতিক ক্লায়েন্ট তাদের ভেন্ডরদের কাছ থেকে ISO 27001 সার্টিফিকেশন দাবি করে।

বাংলাদেশের প্রেক্ষাপটে আউটসোর্সিং, ফাইন্যান্সিয়াল সার্ভিস, ই-কমার্স এবং সরকারি ডিজিটাল প্রকল্পে ISO 27001-এর চাহিদা ক্রমাগত বাড়ছে। এটি গ্লোবাল বাজারে প্রতিযোগিতামূলক অবস্থান অর্জনের একটি প্রধান উপাদান হয়ে উঠেছে।

Information Security Management System বা ISMS হলো নীতি, প্রক্রিয়া, কর্মী, প্রযুক্তি এবং সংস্থাগত কাঠামোর একটি সমন্বিত ব্যবস্থা, যা প্রতিষ্ঠানের তথ্য সম্পদ সুরক্ষিত রাখতে কাজ করে। ISMS-এর মূল ভিত্তি হলো CIA Triad—Confidentiality, Integrity এবং Availability।

ISMS কোনো এককালীন প্রকল্প নয়, বরং একটি ধারাবাহিক উন্নয়ন প্রক্রিয়া যা Plan-Do-Check-Act বা PDCA চক্র অনুসরণ করে। Plan পর্যায়ে ঝুঁকি মূল্যায়ন ও কন্ট্রোল নির্বাচন, Do পর্যায়ে বাস্তবায়ন, Check পর্যায়ে অডিট ও পর্যালোচনা, এবং Act পর্যায়ে সংশোধনমূলক পদক্ষেপ ও উন্নতি।

ISO 27001-এর কেন্দ্রবিন্দু হলো Risk-Based Approach। অর্থাৎ, সব প্রতিষ্ঠানের জন্য একই কন্ট্রোল প্রযোজ্য নয়—প্রতিটি প্রতিষ্ঠানের নিজস্ব ঝুঁকি প্রোফাইল রয়েছে এবং সে অনুযায়ী উপযুক্ত কন্ট্রোল বেছে নিতে হয়। Risk Assessment, Risk Treatment Plan এবং Statement of Applicability হলো এই প্রক্রিয়ার মূল ডকুমেন্ট।

ISO 27001:2022-এর মূল কাঠামোয় ১০টি ক্লজ রয়েছে। ক্লজ ১-৩ হলো পরিচিতি, পরিধি ও সংজ্ঞা। ক্লজ ৪ "Context of the Organization"—প্রতিষ্ঠানের অভ্যন্তরীণ ও বাহ্যিক প্রসঙ্গ বোঝা, স্টেকহোল্ডার চিহ্নিতকরণ। ক্লজ ৫ "Leadership"—শীর্ষ নেতৃত্বের অঙ্গীকার, নীতি প্রতিষ্ঠা এবং দায়িত্ব নির্ধারণ।

ক্লজ ৬ "Planning"—ঝুঁকি ও সুযোগ মোকাবেলা, উদ্দেশ্য নির্ধারণ। ক্লজ ৭ "Support"—সম্পদ, যোগ্যতা, সচেতনতা, যোগাযোগ ও ডকুমেন্টেশন। ক্লজ ৮ "Operation"—অপারেশনাল পরিকল্পনা এবং কন্ট্রোলের বাস্তব প্রয়োগ। ক্লজ ৯ "Performance Evaluation"—পর্যবেক্ষণ, পরিমাপ, অভ্যন্তরীণ অডিট, ব্যবস্থাপনা পর্যালোচনা। ক্লজ ১০ "Improvement"—অসঙ্গতি, সংশোধনমূলক পদক্ষেপ ও ক্রমাগত উন্নতি।

এই দশটি ক্লজ একটি সম্পূর্ণ পরিচালন ব্যবস্থা গঠন করে, এবং অডিটে প্রতিটি ক্লজের জন্য প্রমাণ দেখাতে হয়।

ISO 27001-এর Annex A-তে নিরাপত্তা কন্ট্রোলের একটি বিস্তৃত তালিকা রয়েছে, যা ISO/IEC 27002:2022-এ বিস্তারিত ব্যাখ্যা করা হয়েছে। ২০২২ সংস্করণে কন্ট্রোল সংখ্যা পূর্বের ১১৪ থেকে কমিয়ে ৯৩ করা হয়েছে এবং চারটি প্রধান থিমে পুনর্গঠিত করা হয়েছে।

Organizational Controls (৩৭টি) তথ্য নিরাপত্তা নীতি, ভূমিকা ও দায়িত্ব, সরবরাহকারী সম্পর্ক, ক্লাউড সেবা ব্যবহার, ঘটনা ব্যবস্থাপনা এবং কমপ্লায়েন্স সংক্রান্ত। People Controls (৮টি) যাচাই, কর্মসংস্থান শর্ত, সচেতনতা প্রশিক্ষণ এবং কর্মী প্রস্থান সংক্রান্ত।

Physical Controls (১৪টি) নিরাপদ এলাকা, সরঞ্জাম সুরক্ষা, পরিচ্ছন্ন ডেস্ক/স্ক্রিন নীতি এবং নিরাপদ নিষ্পত্তি সংক্রান্ত। Technological Controls (৩৪টি) অ্যাক্সেস কন্ট্রোল, ক্রিপ্টোগ্রাফি, লগিং ও মনিটরিং, ম্যালওয়্যার সুরক্ষা, নিরাপদ ডেভেলপমেন্ট, ক্লাউড সিকিউরিটি, থ্রেট ইন্টেলিজেন্স ইত্যাদি কভার করে। নতুন সংস্করণে যুক্ত হয়েছে Threat Intelligence, ICT Readiness for Business Continuity, Physical Security Monitoring, Data Masking, Data Leakage Prevention এবং Web Filtering-এর মতো আধুনিক কন্ট্রোল।

ISO 27001 বাস্তবায়ন একটি কাঠামোবদ্ধ প্রকল্প, যা সাধারণত ৬ থেকে ১৮ মাস সময় নেয়। প্রথম ধাপ হলো নেতৃত্বের সমর্থন অর্জন—এটি ছাড়া কোনো উদ্যোগ সফল হয় না। দ্বিতীয় ধাপ পরিধি নির্ধারণ—কোন অংশ, কোন সাইট, কোন প্রক্রিয়া ISMS-এর অন্তর্ভুক্ত হবে।

তৃতীয় ধাপ Gap Analysis—বর্তমান নিরাপত্তা অবস্থা বনাম ISO 27001 প্রয়োজনীয়তার তুলনা। চতুর্থ ধাপ Risk Assessment—সম্পদ ইনভেন্টরি, হুমকি ও দুর্বলতা চিহ্নিতকরণ, সম্ভাবনা ও প্রভাব মূল্যায়ন। পঞ্চম ধাপ Risk Treatment—গ্রহণযোগ্য কন্ট্রোল নির্বাচন, Statement of Applicability তৈরি।

ষষ্ঠ ধাপ ডকুমেন্টেশন—নীতি, প্রক্রিয়া এবং রেকর্ডের কাঠামো প্রতিষ্ঠা। ISO 27001-এ বাধ্যতামূলক ডকুমেন্টের তালিকায় আছে—ISMS Scope, Information Security Policy, Risk Assessment Methodology, Risk Treatment Plan, Statement of Applicability, Internal Audit Programme, Management Review records এবং Corrective Action records।

সপ্তম ধাপ কন্ট্রোল বাস্তবায়ন—প্রযুক্তিগত নিয়ন্ত্রণ ইনস্টল করা, প্রক্রিয়া চালু করা। অষ্টম ধাপ Awareness Training—সব কর্মীকে তাদের ভূমিকা ও দায়িত্ব সম্পর্কে শিক্ষা দেওয়া। নবম ধাপ Internal Audit—সার্টিফিকেশনের আগে অভ্যন্তরীণ অডিট চালানো। দশম ধাপ Management Review এবং সংশোধনমূলক পদক্ষেপ।

সার্টিফিকেশন একটি দুই-পর্যায়ের প্রক্রিয়া যা একটি স্বীকৃত Certification Body পরিচালনা করে। Stage 1 অডিটে অডিটর ডকুমেন্টেশন পর্যালোচনা করেন এবং প্রতিষ্ঠান সার্টিফিকেশনের জন্য প্রস্তুত কিনা যাচাই করেন। কোনো বড় ফাঁক থাকলে তা সংশোধনের সুযোগ দেওয়া হয়।

Stage 2 অডিটে অডিটর সাইট পরিদর্শন করে কন্ট্রোলগুলো কার্যকরভাবে বাস্তবায়িত হয়েছে কিনা যাচাই করেন। সাক্ষাৎকার, পর্যবেক্ষণ এবং প্রমাণ পর্যালোচনার মাধ্যমে এটি করা হয়। সফল হলে সার্টিফিকেট তিন বছরের জন্য জারি হয়। বার্ষিক Surveillance Audit এবং তিন বছর পর Recertification Audit করতে হয়।

জনপ্রিয় Certification Body-র মধ্যে BSI, TÜV, DNV, BV, SGS, LRQA রয়েছে। বাংলাদেশে এসব সংস্থার স্থানীয় প্রতিনিধি রয়েছে। নিজস্ব সক্ষমতা ও প্রকল্পের জটিলতা অনুযায়ী বাহ্যিক কনসালট্যান্ট নিয়োগের কথা বিবেচনা করা যায়।

ISO 27001 বাস্তবায়নে অনেক প্রতিষ্ঠান কিছু সাধারণ চ্যালেঞ্জের মুখোমুখি হয়। প্রথম, নেতৃত্বের অপর্যাপ্ত সম্পৃক্ততা—যখন এটিকে কেবল IT-এর কাজ হিসেবে দেখা হয়। দ্বিতীয়, অতিরিক্ত পরিধি—সব কিছু একবারে অন্তর্ভুক্ত করতে গিয়ে প্রকল্প থেমে যাওয়া। তৃতীয়, ডকুমেন্টেশনের বোঝা—তবে মনে রাখতে হবে ISO 27001 "যা করছেন তা লিখুন এবং যা লিখেছেন তা করুন" নীতিতে চলে।

চতুর্থ চ্যালেঞ্জ, প্রকৃত সংস্কৃতি বদল ছাড়া কেবল ডকুমেন্ট তৈরি—যা "Paper Tiger" পরিস্থিতি তৈরি করে। সফলতার জন্য সচেতনতা, প্রশিক্ষণ এবং কর্মী সম্পৃক্ততা অপরিহার্য। পঞ্চম, অডিটের জন্য শেষ মুহূর্তে প্রস্তুতি—ক্রমাগত সম্মতি নিশ্চিত করতে নিয়মিত অভ্যন্তরীণ অডিট প্রয়োজন।

পরামর্শ হিসেবে—ছোট পরিধি দিয়ে শুরু করুন এবং পরে সম্প্রসারণ করুন। ভেরা, ইসমস বা অনুরূপ GRC টুল ব্যবহার করে ডকুমেন্টেশন সহজ করুন। অভিজ্ঞ কনসালট্যান্ট থেকে নির্দেশনা নিন কিন্তু আপনার দল মালিকানা বজায় রাখুক। প্রকৃত ঝুঁকি-ভিত্তিক চিন্তায় ফোকাস করুন, শুধু চেকবক্স নয়।

ISO 27001 ISO 27000 পরিবারের অংশ, যেখানে রয়েছে ISO 27002 (কন্ট্রোল গাইডেন্স), ISO 27005 (ঝুঁকি ব্যবস্থাপনা), ISO 27017 (ক্লাউড নিরাপত্তা), ISO 27018 (PII), ISO 27701 (গোপনীয়তা)। এছাড়া ISO 22301 (Business Continuity), ISO 9001 (Quality)-এর সঙ্গে সমন্বিত ব্যবস্থাপনা সিস্টেম গঠন করা যায়।

NIST Cybersecurity Framework, SOC 2, PCI DSS-এর সঙ্গে ISO 27001-এর উল্লেখযোগ্য ওভারল্যাপ রয়েছে। অনেক প্রতিষ্ঠান একটি ইন্টিগ্রেটেড কমপ্লায়েন্স প্রোগ্রাম গড়ে তোলে যেখানে একটি কন্ট্রোল একাধিক ফ্রেমওয়ার্কে কাজে লাগে।