Certyfikacja
Czym jest norma ISO 27000
Jak działa standard
ISO / IEC 27001, będący częścią wzorcowej rodziny norm ISO / IEC 27001, jest standardem ISMS (Information Security Management System) opublikowanym w październiku 2005 r. Przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC). Pełne imię i nazwisko to ISO / IEC 27001: 2005 – Technika informacyjna – Techniki zabezpieczeń – Systemy zarządzania bezpieczeństwem informacji – Wymagania.
ISO / IEC 27001 formalnie określa system zarządzania, który ma zapewnić bezpieczeństwo informacji w ramach wyraźnej kontroli zarządzania. Jako formalne oznaczenie oznacza, że ??wymogi te są określone. Organizacje, które twierdzą, że przyjęły normę ISO / IEC 27001, mogą być formalnie kontrolowane i certyfikowane zgodnie ze standardem (więcej poniżej).
Większość organizacji ma wiele kontroli bezpieczeństwa informacji. Jednak bez systemu zarządzania bezpieczeństwem informacji (ISMS) kontrole są raczej zdezorganizowane i rozłączone, często wdrażane często jako punkty odniesienia do konkretnych sytuacji lub po prostu
w drodze konwencji.
Kontrola bezpieczeństwa w działaniu zazwyczaj dotyczy pewnych aspektów bezpieczeństwa IT lub danych; Pozostawienie zasobów informacyjnych innych niż informatyczne (takich jak dokumentacja i wiedza własna) mniej chronione w całości. Ponadto planowanie ciągłości działania i bezpieczeństwo fizyczne można zarządzać całkiem niezależnie od bezpieczeństwa informatycznego lub informacyjnego, podczas gdy praktyki dotyczące zasobów ludzkich mogą niewiele nawiązywać do potrzeby definiowania i przypisywania ról i obowiązków bezpieczeństwa w całej organizacji.
ISO / IEC 27001 wymaga:
Systematycznie analizuj zagrożenia bezpieczeństwa informacji w organizacji, biorąc pod uwagę zagrożenia, luki w zabezpieczeniach i wpływy; Opracowanie i wdrożenie spójnego i kompleksowego pakietu kontroli bezpieczeństwa informacji i / lub innych form leczenia ryzyka (takich jak unikanie ryzyka lub przekazywanie ryzyka), aby zająć się ryzykiem, które uważa się za niedopuszczalne;
Zaakceptowanie nadrzędnego procesu zarządzania w celu zapewnienia, że ??kontrole bezpieczeństwa informacji nadal będą na bieżąco odpowiadać na potrzeby w zakresie bezpieczeństwa informacji w organizacji.
Podczas gdy inne zestawy zabezpieczeń informacji mogą potencjalnie być wykorzystywane w ISMS ISO / IEC 27001, a także, a nawet zamiast ISO / IEC 27002 (Kodeks postępowania w zakresie zarządzania bezpieczeństwem informacji), te dwa standardy są zwykle używane razem ćwiczyć. Załącznik A do ISO / IEC 27001 zwraca krótko listę kontroli bezpieczeństwa informacji z ISO / IEC 27002, natomiast ISO / IEC 27002 udostępnia dodatkowe informacje i wskazówki dotyczące wdrażania urządzeń sterujących.
Organizacje, które wdrażają pakiet kontroli bezpieczeństwa informacji zgodnie z normą ISO / IEC 27002, mogą równocześnie spełniać wiele wymagań normy ISO / IEC 27001, ale mogą brakować niektórych elementów systemu zarządzania. Konwersacja jest również prawdą, innymi słowy, certyfikat zgodności z normą ISO / IEC 27001 zapewnia pewność, że system zarządzania bezpieczeństwem informacji jest na miejscu, ale niewiele mówi o bezwzględnym stanie bezpieczeństwa informacji w organizacji. Bezpieczeństwo techniczne, takie jak antywirusowe i zapory nie są zwykle sprawdzane w audycjach certyfikacyjnych ISO / IEC 27001: zasadniczo zakłada się, że przyjęto wszystkie niezbędne kontrole bezpieczeństwa informacji, ponieważ ogólny system ISMS jest na miejscu i jest uważany za odpowiedni przez spełnienie wymagań ISO / IEC 27001. Ponadto kierownictwo określa zakres ISMS w celach certyfikacyjnych i może go ograniczyć np. Do pojedynczej jednostki biznesowej lub lokalizacji. Certyfikat ISO / IEC 27001 niekoniecznie oznacza, że ??pozostała część organizacji, poza obszarem objętym zakresem, ma odpowiednie podejście do zarządzania bezpieczeństwem informacji.
Inne standardy w normie ISO / IEC 27001 zawierają dodatkowe wskazówki dotyczące pewnych aspektów projektowania, wdrażania i obsługi systemu ISMS, na przykład zarządzania bezpieczeństwem informacji (ISO / IEC 27005).