Системи за управление сигурността на информацията

Въведение в ISO 27001:2013

ISO 27001 е международен стандарт, публикуван от Международната организация по стандартизация (ISO) , който описва как да се управлява информационната сигурност в една компания. Последната редакция на този стандарт беше публикувана през 2013 г., а пълното му заглавие вече е ISO / IEC 27001: 2013.

ISO 27001 може да бъде приложен във всякакъв вид организация, търговска или с нестопанска цел, частна или държавна, малка или голяма. Той е написан от най-добрите световни експерти в областта на информационната сигурност и предоставя методология за прилагане на управлението на информационната сигурност в организациите. Той също така дава възможност на компаниите да се сертифицират, което означава, че независим сертифициращ орган е потвърдил, че дадена организация е осигурила информационна сигурност, съгласно изискванията на международния стандарт ISO 27001.

Какво е Система за управление на сигурността на информацията?

Фокусът на ISO 27001 е защитата на конфиденциалността, цялостта и достъпността на информацията в дадена организация. Това става, като се установи какви потенциални проблеми могат да се случат с информацията (т.е. оценка на риска) и след това се дефинира какво трябва да се направи, за да се предотвратят подобни проблеми (т.е. намаляване на риска или въздействие върху риска). Следователно основната философия на ISO 27001 се основава на управлението на рисковете: разберете къде са рисковете и след това систематично им въздействайте.

Предпазните мерки (или контроли), които предстои да бъдат приложени, обикновено са под формата на политики, процедури и техническо изпълнение (напр. софтуер и оборудване). Въпреки това, в повечето случаи, компаниите вече разполагат с целия хардуер и софтуер, но те ги използват по несигурен начин - следователно по-голямата част от внедряването на ISO 27001 ще бъде за определяне на организационните правила (т.е. писане на документи), които са необходими за предотвратяване на нарушения на сигурността. Тъй като такова внедряване ще изисква управление на множество политики, процедури, хора, активи и др., ISO 27001 описва как да се подберат всички тези елементи заедно в системата за управление на информационната сигурност (ISMS).

Така че, управлението на информационната сигурност не е свързано само със сигурността на информационните технологии (т.е., защитните стени, антивирусни и др.), но и с управлението на процеси, правна защита, управление на човешките ресурси, физическа защита и т.н.

Само ИТ не са достатъчни. Ако работите в ИТ отдела, най-вероятно сте наясно, че повечето проблеми възникват не защото компютрите са се развалили, а защото потребителите използват техниката по грешния начин. Подобни нарушения не могат да бъдат предотвратени единствено с технически средства и защити – в допълнение са необходими политики, процедури, обучения, осъзнаване, дисциплиниращи мерки и др. Доказано е, че колкото по-разнородни мерки за защита се прилагат, толкова по-високо ниво на сигурност се постига.

В допълнение трябва да се има предвид, че най-вероятно не цялата чувствителна информация е дигитална (вероятно все още всяка, или почти всяка, организация има информация и на хартиен носител), което означава, че ИТ защитите са недостатъчни и че ИТ отделът, макар и ключов, е недостатъчен за постигането на високо ниво на информационна сигурност.

ИТ сигурността е само около 50% от информационната сигурност (според ISO 27000), което означава, че не само ИТ отделът трябва да вземе участие при внедряването, а цялата организация.

Какви ползи ще донесе на моя бизнес или организация?

Има 4 основни ползи за бизнеса, които една компания може да постигне с прилагането на този стандарт за информационна сигурност:

Спазвайте законовите изисквания - има все повече закони, разпоредби и договорни изисквания, свързани със сигурността на информацията, а добрата новина е, че повечето от тях могат да бъдат решени чрез прилагане на ISO 27001 - този стандарт ви дава перфектната методология за спазване на всички тях;

Постигнете маркетингово предимство - ако вашата компания се сертифицира, а вашите конкуренти - не, може да имате предимство пред тях в очите на клиентите, които са чувствителни по отношение на запазването на информацията им;

По-ниски разходи - основната философия на ISO 27001 е да се предотвратят инциденти - всеки инцидент, голям или малък, струва пари. Следователно, предотвратявайки ги, Вашата компания ще спести доста пари. И най-хубавото от всичко - инвестицията в ISO 27001 е далеч по-малка от икономията, която ще постигнете;

По-добра организация - обикновено бързоразвиващите се компании нямат време да спрат и да дефинират своите процеси и процедури - в резултат на това много често служителите не знаят какво трябва да се направи, кога и от кого. Прилагането на ISO 27001 спомага за разрешаването на подобни ситуации, защото насърчава компаниите да запишат своите основни процеси (дори и тези, които не са свързани със сигурността), като им позволява да намалят загубеното време на своите служители.

От къде да започнем с ISO 27001:2013?

Обадете ни се! Ние сме консултанти с над 15-годишен опит във внедряването, одитирането и сертифицирането на Системи за управление на сигурността на информацията. Заедно с Вас ще създадем най-подходящия, отговарящ на Вашите нужди план, така че възможно най-безпроблемно и оптимално да стигнете до сертификат!

Ако желаете да получите оферта за консултация, моля натиснете

 

Разгледайте схемата по-долу, за да се запознаете с процеса на сертификация. Не се колебайте, звъннете за да Ви разясним целия процес.