Системи за управление сигурността на информацията
ISO/IEC 27001
Стандартът ISO/IEC 27001 е международен стандарт, популяризиран от ISO (Международна организация за стандартизация) и от IEC (Международна електротехническа комисия), за управление на информационната сигурност, който организациите приемат за:
- планиране
- изпълнение
- работа
- наблюдение
- преглед
- поддържане и
- подобряване на внедрена система за управление на информационната сигурност.
ISO/IEC 27001 е от семейството на серията ISO/IEC 27000 ISMS стандарти, който:
- дефинира изискванията за създаване на Системата за управление сигурността на информацията(СУСИ);
- предоставя насоки за проектиране, внедряване, поддържане и подобряване на СУСИ;
- изразява насоките в различните области на използване на СУСИ;
- оценява съответствието на СУСИ.
В допълнение към ISO/IEC 27001, сертифицирането позволява внедряване на разширения към други стандарти, които описват насоките в конкретни области/сектори, като пример:
- ISO/IEC 27017, Кодекс за поведение за контрол на информационната сигурност на облачни услуги;
- ISO/IEC 27018, Кодекс за поведение за защита на лична идентифицираща информация (PII) в публични облаци, действащи като обработващи лични данни;
- ISO/IEC 27701 – Международен стандарт за управление на информацията за поверителност и защита на данните;
- ISO 27799 – Управление на сигурността на информацията в здравеопазването на основата на ISO/IEC 27002
ЗАЩО ДА СЕ СЕРТИФИЦИРАТЕ ПО ISO/IEC 27001
С прилагането на изискванията, съдържащи се в стандарта ISO/IEC 27001, една организация може да анализира и проверява своите рискове и да идентифицира заплахите, които могат да засегнат нейната дейност. Стандартът позволява цялостен подход към информационната сигурност, във всички включени области: от документи в цифров формат до тези в хартиен формат, от хардуерно оборудване (компютри и мрежи) до уменията на персонала.
Истинското предимство на сертифицирането по ISO/IEC 27001 е да демонстрира, че компанията е в състояние да гарантира, че управляваната информация (включително тази, свързана с клиенти и търговски тайни) е поверителна, получена от неповредени, контролирани и същевременно лесно достъпни източници.
ISO 27001 може лесно да се интегрира с други системи за управление, като ISO 9001 (Системи за управление на качеството), ISO 45001 (Системи за здравословни и безопасни условия на труд), ISO 14001 (Системи за управление на околната среда) и неговите целите могат да бъдат включени в плана за непрекъснато подобрение.
ПОТРЕБИТЕЛИ
Стандартът ISO 27001 е насочен към всякакъв вид публични или частни организации, от всички сектори, без значение на размера, свързани с производство или предлагането на услуги.
ПОЛЗИ
- Подобряване на имиджа и репутацията на пазара
- Способност да отговарят на нуждите и очакванията на клиентите
- Проследено управление на информационните потоци
- Превантивен и прогнозен анализ на заплахи и уязвимости
- Внедряване на планове за непрекъснатост на бизнеса в управлението на информацията
ПРОЦЕС НА СЕРТИФИКАЦИЯ
- Подаване на Запитване за оферта
- Преглед на Запитването за оферта и изготвяне на офертата
- Получаване на офертата
- Потвърждаване и подписване на офертата
- Планиране на одита
- Извършване на сертификационен одит (Етап 1 и Етап 2)
- Вземане на решение за издаване на Сертификат
- Издаване на Сертификат
- Периодично наблюдение за потвърждаване на сертифицирането
НОРМАТИВНИ ИЗИСКВАНИЯ
- ISO/IEC 27001, Системи за управление на информационната сигурност – Изисквания
- ISO/IEC 27002, Кодекс за поведение за контрол на информационната сигурност
- ISO/IEC 27003, Ръководство за внедряване на ISMS
- ISO/IEC 27004, Управление на информационната сигурност – измерване
- ISO/IEC 27005, Управление на риска за сигурността на информацията
- ISO/IEC 27006, Изисквания към органи, предоставящи ISMS одити и сертифициране
- ISO/IEC 27007, Насоки за проверка на ISMS
- ISO/IEC TR 27008, Насоки за одитори за контрол на информационната сигурност
- ISO/IEC 27009, Секторно приложение на ISO/IEC 27001 – Изисквания
- ISO/IEC 27013, Ръководство за интегрирано внедряване на ISO/IEC 27001 и ISO/IEC 20000-1
- ISO/IEC 27014, Управление на информационната сигурност
- БДС EN ISO/IEC 17021-1:2015 – Изисквания към органи, предоставящи одити и сертифициране на системи за управление