ISO 27001 este un standard international publicat de Organizatia Internationala pentru Standardizare (ISO) si descrie modul de gestionare a securitatii informatiilor intr-o companie.
Ultima revizuire a acestui standard a fost publicata in 2013, iar titlul sau complet este acum ISO / IEC 27001: 2013. Prima revizuire a standardului a fost publicata in 2005 si a fost elaborata pe baza standardului britanic BS 7799-2.
ISO 27001 poate fi implementat in orice fel de organizatie, profit sau nonprofit, privat sau de stat, mic sau mare. A fost scris de cei mai buni experti din lume in domeniul securitatii informatiilor si ofera metodologii pentru implementarea managementului securitatii informatiilor intr-o organizatie.
De asemenea, permite companiilor sa devina certificate, ceea ce inseamna ca un organism independent de certificare a confirmat ca o organizatie a implementat o securitate a informatiilor conforma cu standardul ISO 27001.
Cum functioneaza ISO 27001?
Accentul ISO 27001 este de a proteja confidentialitatea, integritatea si disponibilitatea informatiilor dintr-o companie. Acest lucru se realizeaza prin aflarea eventualelor probleme care ar putea aparea la nivelul informatiilor (de exemplu, evaluarea riscurilor) si apoi definirea a ceea ce trebuie facut pentru a preveni aparitia unor astfel de probleme (de exemplu, reducerea riscurilor sau tratamentul riscurilor).
Prin urmare, principala filozofie a ISO 27001 se bazeaza pe gestionarea riscurilor: aflati unde sunt riscurile si apoi tratati-le sistematic. Pentru a beneficia in compania dvs. de acest standard, este important sa cautati cea mai atractiva oferta certificare iso 27001.
Garantiile (sau controalele) ce urmeaza a fi implementate sunt, de obicei, sub forma politicilor, procedurilor si implementarii tehnice (de exemplu, software si echipamente).
Cu toate acestea, in majoritatea cazurilor, companiile au deja toate componentele hardware si software existente, dar le utilizeaza intr-un mod nesigur – prin urmare, majoritatea implementarii ISO 27001 se va referi la stabilirea regulilor organizationale (adica, scrierea de documente) necesare pentru a preveni incalcarea securitatii.
Deoarece o astfel de implementare va necesita gestionarea mai multor politici, proceduri, persoane, active etc., ISO 27001 a descris cum sa se potriveasca toate aceste elemente impreuna in sistemul de management al securitatii informatiilor (ISMS).
Deci, gestionarea securitatii informatiilor nu se refera numai la securitatea informatica (firewall-uri, anti-virus etc.) – este vorba despre gestionarea proceselor, protectia juridica, gestionarea resurselor umane, protectia fizica etc.
De ce este ISO 27001 buna pentru compania dvs.?
Exista 4 beneficii esentiale ale afacerii pe care o companie le poate realiza prin implementarea acestui standard de securitate a informatiilor:
Respectati cerintele legale – exista tot mai multe legi, reglementari si cerinte contractuale legate de securitatea informatiilor, iar vestea buna este ca majoritatea acestora pot fi rezolvate prin implementarea standardului ISO 27001 – acest standard va ofera metodologia perfecta pentru a le respecta pe toti.
Obtine avantaj pe partea de marketing – daca compania dvs. obtine certificare si concurentii dumneavoastra nu au, puteti avea un avantaj fata de ei in ochii clientilor care sunt sensibili in pastrarea informatiilor lor in siguranta.
Costuri mai mici – principala filozofie a ISO 27001 este de a preveni incidentele de securitate – si fiecare incident, mare sau mic, costa bani. Prin urmare, prin impiedicarea acestora, compania dvs. va economisi o multime de bani. Cel mai bun lucru din toate – investitia in ISO 27001 este mult mai mica decat economiile de cost pe care le veti realiza.
O organizare mai buna – de obicei, companiile cu crestere rapida nu au timp sa se opreasca si sa-si defineasca procesele si procedurile – ca urmare, foarte des angajatii nu stiu ce trebuie facut, cand si de cine. Implementarea ISO 27001 ajuta la rezolvarea unor astfel de situatii, deoarece incurajeaza companiile sa isi scrie principalele procese (chiar si cele care nu sunt legate de securitate), permitandu-le sa reduca timpul pierdut al angajatilor lor.
Informatii legate de securitate si alte standarde
ISO / IEC 27002 ofera orientari pentru implementarea controalelor enumerate in ISO 27001. ISO 27001 specifica 114 de controale care pot fi utilizate pentru a reduce riscurile de securitate si ISO 27002 poate fi destul de utila deoarece ofera detalii despre modul de implementare a acestor controale. ISO 27002 a fost denumita anterior ISO / IEC 17799 si a iesit din standardul britanic BS 7799-1.
ISO / IEC 27004 ofera indrumari pentru masurarea securitatii informatiilor – se potriveste bine cu ISO 27001 deoarece explica cum sa se determine daca ISMS si-a atins obiectivele.
ISO / IEC 27005 ofera orientari pentru gestionarea riscurilor de securitate a informatiilor. Este un supliment foarte bun la standardul ISO 27001, deoarece ofera detalii despre modul de efectuare a evaluarii riscurilor si a tratamentului riscului, probabil cea mai dificila etapa in implementare. ISO 27005 a iesit din standardul britanic BS 7799-3.
ISO 22301 defineste cerintele pentru sistemele de management al continuitatii afacerii – se potriveste foarte bine cu standardul ISO 27001 deoarece A.17 din ISO 27001 necesita implementarea continuitatii afacerii; cu toate acestea, nu ofera prea multe detalii.
ISO 9001 defineste cerintele pentru sistemele de management al calitatii – desi, la prima vedere, managementul calitatii si managementul securitatii informatiilor nu au prea multe in comun, faptul ca aproximativ 25% din cerintele ISO 27001 si ISO 9001 sunt aceleasi: controlul documentelor, auditul intern, analiza conducerii, actiunile corective, stabilirea obiectivelor si gestionarea competentelor. Aceasta inseamna ca, daca o companie a implementat ISO 9001, va avea un loc de munca mult mai usor de implementat ISO 27001.
