ISO / IEC 27001 inseamna oficial un Sistem de gestionare a securitatii informatiilor (ISMS), care cuprinde o serie de activitati privind gestionarea riscurilor informationale (numite „riscuri pentru securitatea informatiilor” din standard).
ISMS este un cadru de management general prin intermediul caruia, organizatia identifica, analizeaza si abordeaza riscurile informationale.
ISMS se asigura de reglarea acordurilor de securitate pentru a tine pasul cu schimbarile la amenintarile de securitate, cu vulnerabilitatile si impactul asupra afacerilor, ceea ce reprezinta un aspect important intr-un astfel de domeniu dinamic, si un avantaj esential al abordarii flexibile bazate pe riscuri ISO27k in comparatie cu, sa spunem, PCI-DSS.
Standardul acopera toate tipurile de organizatii (de exemplu, intreprinderi comerciale, agentii guvernamentale, non-profit), toate dimensiunile (de la micro-intreprinderi la multinationale uriase) si toate industriile sau pietele (de ex.
Vanzare cu amanuntul, banca, aparare, asistenta medicala, educatie si guvern); astfel ca si dvs. puteti accesa https://www.certificareiso.ro/certificat-iso-27001, pentru a primi ajutor in implementarea standardului.
ISO / IEC 27001 nu mandateaza in mod oficial controale specifice de securitate a informatiilor. Controalele de securitate a informatiilor de la ISO / IEC 27002 sunt mentionate in anexa A la ISO / IEC 27001, mai degraba ca un meniu.
Organizatiile care adopta ISO / IEC 27001 au posibilitatea de a alege oricare dintre controalele specifice de securitate a informatiilor sunt aplicabile riscurilor lor specifice de informatii, bazandu-se pe cele enumerate in meniu si le pot suplimenta cu alte optiuni a la carte (uneori cunoscute sub numele de seturi de control extinse).
La fel ca in ISO / IEC 27002, cheia pentru selectarea controalelor aplicabile este realizarea unei evaluari cuprinzatoare a riscurilor informationale ale organizatiei, care este o parte esentiala a ISMS.
In plus, conducerea poate alege sa evite, sa impartaseasca sau sa accepte riscuri de informatii, mai degraba decat sa le atenueze prin controale, o decizie de tratare a riscurilor in cadrul procesului de gestionare a riscurilor.
Istorie
- ISO / IEC 27001 este derivat din BS 7799 Partea a 2-a, publicata pentru prima data de British Standards Institute in 1999.
- BS 7799 Partea 2 a fost revizuita in 2002, incorporand explicit ciclul Plan-Do-Check-Act in stil Deming.
- Partea 2 BS 7799 a fost adoptata ca ISO / IEC 27001 in 2005, cu diverse modificari pentru a reflecta noii custodieni.
- Prima editie din 2005 a fost revizuita pe larg si publicata in 2013, aducandu-l in concordanta cu celelalte standarde ale sistemelor de management ISO si eliminand trimiterea explicita la PDCA.
Certificare
Conformitatea certificata de ISO / IEC 27001 de catre un organism de certificare acreditat si respectat, este in intregime optionala, dar este solicitata din ce in ce mai mult furnizorilor si partenerilor de afaceri de catre organizatii care sunt (pe buna dreptate!) preocupate de securitatea informatiilor lor si de securitatea informatiilor in intreaga lant de furnizare sau retea.
Conform sondajului ISO pentru 2017 , exista aproximativ 40.000 de certificate ISO / IEC 27001 la nivel mondial, in crestere cu aproximativ 20% anual.
Certificarea aduce o serie de avantaje peste si dincolo de simpla conformitate, in acelasi mod in care un certificat ISO 9000 din seria spune mai mult decat doar „Suntem o organizatie de calitate”.
Evaluarea independenta aduce in mod necesar o anumita rigurozitate si formalitate in procesul de implementare (implicand imbunatatiri ale securitatii informatiilor si a tuturor beneficiilor pe care le aduce prin reducerea riscurilor) si necesita invariabil aprobarea conducerii superioare (ceea ce este un avantaj in termeni de constientizare in materie de securitate, cel putin!).
Certificatul are potential de marketing si demonstreaza ca organizatia ia in serios managementul securitatii informatiilor.
Cu toate acestea, dupa cum s-a mentionat mai sus, valoarea de asigurare a certificatului depinde in mare masura de domeniul de aplicare al ISMS si de SoA – cu alte cuvinte, nu pune prea multa incredere in certificatul de conformitate ISO / IEC 27001 al unei organizatii daca esti foarte dependent de informatiile de securitate.
In acelasi mod in care conformitatea PCI-DSS certificata nu inseamna „Garantam securizarea datelor cardului de credit si a altor informatii personale”, conformitatea certificata ISO / IEC 27001 este un semn pozitiv, dar nu o garantie din cu privire la securitatea informatiilor unei organizatii.
Starea standardului
Standardul a fost publicat pentru prima data in 2005.
ISO / IEC 27001 a fost rescris complet si publicat in 2013. Acest lucru a fost mult mai mult decat simpla modificare a continutului editiei 2005, deoarece ISO / IEC JTC1 a insistat pe modificari substantiale pentru alinierea acestui standard la alte standarde de sisteme de management care acopera asigurarea calitatii, protectia mediului etc.
Ideea este ca managerii care sunt familiari cu oricare dintre sistemele de management ISO vor intelege principiile de baza care stau la baza unui ISMS.
Conceptele precum certificarea, politica, neconformitatea, controlul documentelor, auditurile interne si revizuirile managementului sunt comune tuturor standardelor sistemelor de management si, de fapt, procesele pot fi, intr-o mare masura, standardizate in cadrul organizatiei.
ISO / IEC 27002 a fost revizuit pe larg si reeditat in acelasi timp, de aceea anexa A la ISO / IEC 27001 a fost complet actualizata de asemenea: consultati pagina ISO / IEC 27002 pentru mai multe. O rectificare tehnica din 2014 a clarificat faptul ca informatiile sunt, pana la urma, un atu.