ISO / IEC 27001, dupa cum puteti descoperi si accesand https://www.certificareiso.ro/certificat-iso-27001, este un standard de securitate a informatiilor, parte a familiei de standarde ISO / IEC 27000, din care ultima versiune a fost publicata in 2013, cu cateva actualizari minore de atunci.
Este publicat de Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC) in cadrul subcomitetului comun ISO si IEC, ISO / IEC JTC 1 / SC 27.
ISO / IEC 27001 specifica un sistem de management care este destinat sa aduca securitatea informatiilor sub control de gestionare si ofera cerinte specifice. Organizatiile care indeplinesc cerintele pot fi certificate de un organism de certificare acreditat dupa finalizarea cu succes a unui audit.
Cum functioneaza standardul
Majoritatea organizatiilor au o serie de controale de securitate a informatiilor. Cu toate acestea, fara un sistem de management al securitatii informatiilor (ISMS), controalele tind sa fie oarecum dezorganizate si disjuncte, fiind implementate adesea ca solutii punctuale pentru situatii specifice sau pur si simplu ca o chestiune conventionala.
Controalele de securitate care functioneaza de obicei abordeaza anumite aspecte ale IT sau securitatea datelor specific; lasand activele informationale non-IT (cum ar fi documentele si cunostintele de proprietate) mai putin protejate in ansamblu.
Mai mult decat atat, planificarea continuitatii afacerii si securitatea fizica pot fi gestionate in mod independent de securitatea IT sau informatii, in timp ce practicile de resurse umane pot face putina trimitere la necesitatea de a defini si atribui roluri si responsabilitati in materie de securitate a informatiilor in intreaga organizatie.
ISO / IEC 27001 impune ca managementul sa:
- Examineze sistematic riscurile securitatii informationale a organizatiei, tinand cont de amenintari, vulnerabilitati si impacturi;
- Proiecteze si implementeze o suita coerenta si cuprinzatoare de controale de securitate a informatiilor si / sau alte forme de tratament de risc (cum ar fi evitarea riscurilor sau transferul de risc) pentru a aborda acele riscuri care sunt considerate inacceptabile;
- Adopte un proces de management general pentru a se asigura ca controalele de securitate a informatiilor continua sa raspunda nevoilor de securitate informationala ale organizatiei in mod continuu.
Retineti ca ISO / IEC 27001 este proiectat pentru a acoperi mult mai mult decat doar IT.
Ce controale vor fi testate ca parte a certificarii ISO / IEC 27001 depinde de auditorul de certificare. Acest lucru poate include orice controale pe care organizatia le-a considerat ca intra in sfera de aplicare a ISMS si aceasta testare poate fi la orice profunzime sau masura, evaluata de auditor, dupa cum este necesar pentru a testa daca controlul a fost implementat si functioneaza eficient.
Managementul determina domeniul de aplicare al ISMS in scopuri de certificare si il poate limita la, sa zicem, o singura unitate de afaceri sau locatie. Certificatul ISO / IEC 27001 nu inseamna neaparat ca restul organizatiei, in afara zonei vizate, are o abordare adecvata in managementul securitatii informatiilor.
Alte standarde din familia de standarde ISO / IEC 27000 ofera indrumari suplimentare cu privire la anumite aspecte ale proiectarii, implementarii si functionarii unui ISMS, de exemplu privind gestionarea riscurilor de securitate a informatiilor (ISO / IEC 27005).
Istoric ISO / IEC 27001
BS 7799 a fost un standard publicat initial de Grupul BSI in 1995. A fost scris de Departamentul pentru Comert si Industrie (DTI) al Guvernului Regatului Unit si a fost format din mai multe parti.
Prima parte, care contine cele mai bune practici pentru gestionarea securitatii informatiilor, a fost revizuita in 1998; dupa o lunga discutie in cadrul organismelor de standarde mondiale, in cele din urma, ISO a fost adoptat ca ISO / IEC 17799, „Tehnologia informatiei – Cod de practica pentru gestionarea securitatii informatiei”. in 2000. ISO / IEC 17799 a fost apoi revizuita in iunie 2005 si incorporata in cele din urma in seria de standarde ISO 27000 ca ISO / IEC 27002 in iulie 2007.
A doua parte a BS7799 a fost publicata prima data de BSI in 1999, cunoscuta sub denumirea de BS 7799 Partea 2, intitulata „Sisteme de gestionare a securitatii informatiilor – Specificatii cu ghid pentru utilizare”.
BS 7799-2, s-a concentrat pe modul de implementare a unui sistem de management al securitatii informatiilor (ISMS), referindu-se la structura de gestionare a securitatii informatiilor si la controalele identificate in BS 7799-2. Aceasta a devenit ulterior ISO / IEC 27001: 2005. BS 7799 Partea a 2-a a fost adoptata de ISO ca ISO / IEC 27001 in noiembrie 2005.
BS 7799 Partea a 3-a a fost publicata in 2005, care vizeaza analiza si managementul riscurilor. Se aliniaza ISO / IEC 27001: 2005. Se face foarte putina referinta sau utilizare la oricare dintre standardele BS in legatura cu ISO / IEC 27001.
Concluzie
Asadar, ISO 27001 este o specificatie pentru un sistem de management al securitatii informatiilor (ISMS). ISMS este un cadru de politici si proceduri care include toate controalele legale, fizice si tehnice implicate in procesele de gestionare a riscurilor informationale ale unei organizatii.
Conform documentatiei sale, ISO 27001 a fost dezvoltat pentru a „oferi un model pentru stabilirea, implementarea, operarea, monitorizarea, revizuirea, mentinerea si imbunatatirea unui sistem de gestionare a securitatii informatiilor”