ISO 27001 este un standard international publicat de Organizatia Internationala de Standardizare (ISO) si descrie modul de gestionare a securitatii informatiilor intr-o companie.
Cea mai recenta revizuire a acestui standard a fost publicata in 2013, iar titlul sau complet este acum ISO / IEC 27001: 2013. Prima revizuire a standardului a fost publicata in 2005 si a fost elaborata pe baza standardului britanic BS 7799-2.
ISO 27001 poate fi implementat in orice tip de organizatie, profit sau non-profit, privat sau de stat, mica sau mare, iar daca dvs. doriti sa obtineti o asemenea certificare, este foarte important sa accesati https://www.certificareiso.ro pentru a lua legatura cu specialistii care va pot ajuta sa obtineti certificarea.
Acest standard a fost scris de cei mai buni experti din lume in domeniul securitatii informatiilor si ofera metodologie pentru implementarea managementului securitatii informatiilor intr-o organizatie.
De asemenea, permite companiilor sa devina certificate, ceea ce inseamna ca un organism independent de certificare a confirmat ca o organizatie a implementat securitatea informatiilor conform ISO 27001.
ISO 27001 a devenit cel mai popular standard de securitate a informatiilor la nivel mondial si multe companii au certificat impotriva acestuia.
Cum functioneaza ISO 27001
ISO 27001 vizeaza protejarea confidentialitatii, integritatii si disponibilitatii informatiilor intr-o companie.
Acest lucru se realizeaza prin aflarea problemelor potentiale care ar putea intampla cu informatiile (adica, evaluarea riscurilor) si apoi definirea a ceea ce trebuie facut pentru a preveni astfel de probleme (adica, atenuarea riscului sau tratamentul riscurilor).
Prin urmare, filozofia principala a ISO 27001 se bazeaza pe gestionarea riscurilor: aflati unde sunt riscurile si apoi tratati-le sistematic.
Garantiile (sau controalele) care urmeaza sa fie puse in aplicare sunt de obicei sub forma de politici, proceduri si implementare tehnica (de exemplu, software si echipamente).
Cu toate acestea, in cele mai multe cazuri, companiile au deja toate componentele hardware si software, dar le folosesc intr-un mod nesigur – prin urmare, majoritatea implementarii ISO 27001 vor fi legate de stabilirea regulilor organizatorice (adica scrierea documentelor) necesare pentru a preveni incalcarile de securitate.
Intrucat o astfel de implementare va necesita administrarea mai multor politici, proceduri, persoane, active etc., ISO 27001 a descris cum sa se potriveasca toate aceste elemente impreuna in sistemul de management al securitatii informatiilor (ISMS).
Asadar, gestionarea securitatii informatiei nu se refera doar la securitatea IT (adica, firewall-uri, antivirus etc.) – este vorba si despre gestionarea proceselor, protectia legala, gestionarea resurselor umane, protectia fizica etc.
De ce este ISO 27001 bun pentru compania dvs.?
Exista 4 avantaje esentiale pentru afaceri pe care o companie le poate obtine prin implementarea acestui standard de securitate a informatiilor:
Respecta cerintele legale – exista tot mai multe legi, reglementari si cerinte contractuale legate de securitatea informatiilor, iar vestea buna este ca majoritatea acestora pot fi rezolvate prin implementarea ISO 27001 – acest standard va ofera metodologia perfecta pentru a le respecta pe toate.
Obtineti un avantaj de marketing – daca compania dvs. este certificata si concurentii dvs. nu, este posibil sa aveti un avantaj asupra acestora in ochii clientilor care sunt sensibili pentru pastrarea informatiilor lor in siguranta.
Costuri mai mici – principala filozofie a ISO 27001 este de a preveni incidentele de securitate – si orice incident, mare sau mic, costa bani.
Prin urmare, prin prevenirea lor, compania dvs. va economisi destul de multi bani. Iar cel mai bun lucru dintre toate – investitia in ISO 27001 este mult mai mica decat economiile de costuri pe care le veti obtine.
O mai buna organizare – de regula, companiile cu crestere rapida nu au timp sa se opreasca si sa-si defineasca procesele si procedurile – in consecinta, foarte des angajatii nu stiu ce trebuie facut, cand si de cine.
Implementarea ISO 27001 ajuta la rezolvarea unor astfel de situatii, deoarece incurajeaza companiile sa isi noteze principalele procese (chiar si cele care nu sunt legate de securitate), ceea ce le permite sa reduca timpul pierdut al angajatilor lor.
Unde se potriveste managementul securitatii informatiilor intr-o companie
In esenta, securitatea informatiilor face parte din managementul general al riscurilor intr-o companie, cu domenii care se suprapun cu securitatea cibernetica, managementul continuitatii afacerii si managementul IT.
Cum arata de fapt ISO 27001?
ISO / IEC 27001 este impartit in 11 sectiuni, plus anexa A. Sectiunile 0 – 3 sunt introductive (si nu sunt obligatorii pentru implementare), in timp ce sectiunile 4-10 sunt obligatorii – ceea ce inseamna ca toate cerintele lor trebuie sa fie implementate intr-o organizatie daca vrea sa fie conform cu standardul.
Controalele din anexa A trebuie puse in aplicare numai daca sunt declarate ca aplicabile in Declaratia de aplicabilitate.
Conform anexei SL a Organizatiei internationale pentru standardizarea directivelor ISO / IEC, titlurile sectiunii din ISO 27001 sunt aceleasi ca in ISO 22301: 2012, in noul ISO 9001: 2015, si alte standarde de management, permitand integrarea mai usoara a acestor standarde. .
Sectiunea 0: Introducere – explica scopul ISO 27001 si compatibilitatea acestuia cu alte standarde de management.
Sectiunea 1: Domeniul de aplicare – explica faptul ca acest standard este aplicabil oricarui tip de organizatie.
Sectiunea 2: Referinte normative – se refera la ISO / IEC 27000 ca un standard in care sunt dati termeni si definitii.
Sectiunea 3: Termeni si definitii – se refera din nou la ISO / IEC 27000.
Sectiunea 4: Contextul organizatiei – aceasta sectiune face parte din faza Planului in ciclul PDCA si defineste cerintele pentru intelegerea problemelor externe si interne, partile interesate si cerintele acestora, precum si definirea sferei ISMS.
Sectiunea 5: Conducere – aceasta sectiune face parte din faza Planului din ciclul PDCA si defineste responsabilitatile de conducere superioara, stabilind rolurile si responsabilitatile si continutul politicii de securitate a informatiilor de nivel superior.
Sectiunea 6: Planificare – aceasta sectiune face parte din faza Planului din ciclul PDCA si defineste cerintele pentru evaluarea riscurilor, tratamentul riscurilor, Declaratia de aplicabilitate, planul de tratare a riscurilor si stabilirea obiectivelor de securitate a informatiilor.
Sectiunea 7: Sprijin – aceasta sectiune face parte din faza Planului din ciclul PDCA si defineste cerintele privind disponibilitatea resurselor, competentelor, constientizarii, comunicarii si controlului documentelor si inregistrarilor.
Sectiunea 8: Operare – aceasta sectiune face parte din faza de Do in ciclul PDCA si defineste implementarea evaluarii si tratamentului riscurilor, precum si controale si alte procese necesare pentru atingerea obiectivelor de securitate a informatiilor.
Sectiunea 9: Evaluarea performantei – aceasta sectiune face parte din faza de verificare a ciclului PDCA si defineste cerintele pentru monitorizare, masurare, analiza, evaluare, audit intern si revizuire a managementului.
Sectiunea 10: Imbunatatire – aceasta sectiune face parte din faza Act in ciclul PDCA si defineste cerintele pentru neconformitati, corectii, actiuni corective si imbunatatiri continue.
Anexa A – aceasta anexa ofera un catalog de 114 controale (garantii) plasate in 14 sectiuni (sectiunile A.5 – A.18).
