Mit jelent az ISO 27001?
Először is fontos megjegyezni, hogy az ISO 27001 teljes neve “ISO / IEC 27001 – Informatika – Biztonsági technikák – Információbiztonsági irányító rendszerek – Követelmények. ”
Ez az információbiztonságra összpontosító vezető nemzetközi szabvány, amelyet a Nemzetközi Szabványügyi Szervezet (ISO), a Nemzetközi Elektrotechnikai Bizottsággal (IEC) együttműködve tett közzé. Mindkettő vezető nemzetközi szervezet, amely dolgozzon ki nemzetközi szabványokat.
Az ISO-27001 az információbiztonság kezelésére kifejlesztett szabványkészlet része: az ISO / IEC 27000 sorozat.
Mi az ISO 27001 célja?
Az ISO 27001 szabványt úgy fejlesztették ki, hogy bármilyen információs és bármilyen iparágú szervezetnek szisztematikus és költséghatékony módon védje információit az információbiztonsági irányítási rendszer (ISMS) bevezetésével.
Miért fontos az ISO 27001?
Nemcsak a szabvány nyújt társat A legértékesebb információik megóvásához szükséges know-how-val rendelkeznek, de a vállalat az ISO 27001 tanúsítványt is megszerezheti, és ily módon bebizonyíthatja ügyfeleinek és partnereinek, hogy védi az adataikat.
Az egyének tanfolyamokon való részvétellel és a vizsga letételével is megszerezhetik az ISO 27001 tanúsítványt, és így bizonyíthatják képességeiket a potenciális munkaadók számára.
Mivel ez nemzetközi szabvány, Az ISO 27001 az egész világon könnyen felismerhető, növelve az üzleti lehetőségeket a szervezetek és a szakemberek számára.
Mi az a 3 ISMS biztonsági cél?
Az ISO 27001 alapvető célja három az információk vonatkozásai:
- Titoktartás: csak az arra jogosult személyek férhetnek hozzá az információkhoz.
- Integritás: csak az arra jogosultak módosíthatják az információkat.
- Elérhetőség: az információnak bármikor hozzáférhetőnek kell lennie a jogosult személyek számára.
Mi az ISMS?
Az információbiztonsági kezelő rendszer (ISMS) egy olyan szabályrendszer, amelyet a vállalatnak meg kell hoznia annak érdekében, hogy:
- azonosítsa az érdekelt feleket és a vállalattal szembeni elvárásaikat az információbiztonság terén
- meghatározza, hogy az információ milyen kockázatokkal rendelkezik
- meghatározza az ellenőrzéseket (biztosítékokat) és más mérséklési módszereket az azonosított elvárásoknak való megfelelés és a kockázatok kezelése érdekében
- egyértelmű célokat tűz ki az elérendő célokra információbiztonsággal
- hajtsa végre az összes ellenőrzést és más kockázatkezelési módszert
- folyamatosan mérje, hogy a megvalósított ellenőrzések a várt módon teljesítenek-e
- folyamatos fejlesztéseket hajtanak végre az ISMS egészének érdekében jobban működnek
Ez a szabálykészlet leírható házirendek, eljárások és más típusú dokumentumok formájában, vagy kialakított folyamatok és technológiák formájában, amelyek nem dokumentált. Az ISO 27001 meghatározza, hogy mely dokumentumok szükségesek, azaz melyeknek minimum léteznie kell.
Miért van szükségünk ISMS-re?
Négy alapvető üzleti előnye van egy vállalat ezen információbiztonsági szabvány megvalósításával elérheti:
Tartsa be a törvényi előírásokat – az információbiztonsággal kapcsolatban egyre több törvény, rendelet és szerződéses követelmény érvényesül, és a jó hír hogy a legtöbbjük megoldható az ISO 27001 bevezetésével – ez a szabvány tökéletes módszertant nyújt Önnek, hogy mindezeknek megfeleljen.
Versenyképes előny elérése – ha cége tanúsítvánnyal rendelkezik, versenytársai pedig nem, akkor előnye lehet velük szemben azoknak az ügyfeleknek a szemében, akik érzékenyek az információk biztonságára.
Alacsonyabb költségek – az ISO 27001 fő filozófiája a biztonsági incidensek megakadályozása – és minden, kisebb vagy nagyobb esemény pénzbe kerül. Ezért azáltal, hogy megakadályozza őket, cége meglehetősen sok pénzt takarít meg. És ami a legjobb: az ISO 27001-be történő befektetés jóval kisebb, mint az elért költségmegtakarítás.
Jobb szervezés – a gyorsan növekvő vállalatoknak általában nincs ideje megállniuk és meghatározniuk folyamataikat és eljárásaikat – ennek következtében az alkalmazottak gyakran nem tudják, mit kell tenni, mikor, és ki által. Az ISO 27001 bevezetése segít megoldani az ilyen helyzeteket, mert arra ösztönzi a vállalatokat, hogy írják le főbb folyamataikat (még azokat is, amelyek nem kapcsolódnak a biztonsághoz), lehetővé téve számukra, hogy csökkentse munkatársaik által elvesztegetett időt.
Hogyan működik az ISO 27001?
Az ISO 27001 célja az információk bizalmasságának, integritásának és elérhetőségének védelme a vállalatnál. Ez annak kiderítésével történik, hogy milyen potenciális problémák történhetnek az információval (azaz, kockázatértékelés), majd meghatározza, hogy mit kell tennie az ilyen problémák előfordulásának megakadályozása érdekében (azaz kockázatcsökkentés vagy kockázatkezelés).
Ezért az ISO 27001 fő filozófiája a kockázatok kezelésének folyamatán alapul: megtudja, hol vannak a kockázatok, majd szisztematikusan kezelje őket a biztonsági ellenőrzések (vagy biztosítékok) végrehajtásával.
Az ISO 27001 előírja, hogy a vállalat felsorolja az összes végrehajtandó vezérlőelemet az Alkalmazhatósági nyilatkozat nevű dokumentumban.
Melyek az ISO 27001 követelményei?
Az ISO 27001 kötelező követelményei a 4–10. szakaszban vannak meghatározva – ez azt jelenti, hogy ezeket a követelményeket meg kell valósítani egy szervezetben, ha megfelelni akar a szabványnak. Az A. mellékletből származó vezérléseket csak akkor szabad végrehajtani, ha az alkalmazhatósági nyilatkozatban alkalmazhatónak nyilvánítják.
A 4–10. Szakasz követelményei a következőképpen foglalhatók össze:
4. szakasz: A a szervezet – meghatározza a külső és belső kérdések, az érdekelt felek és követelményeik megértésének, valamint az ISMS hatókörének követelményeit.
5. szakasz: Vezetés – meghatározza a felső vezetés felelősségét, meghatározza a legfelső szintű információbiztonsági irányelv szerepeit és felelősségét, valamint tartalmát.
6. szakasz: Tervezés – meghatározza a kockázatértékelés, a kockázatkezelés, az alkalmazhatósági nyilatkozat, a kockázatkezelési terv és az információbiztonsági célok meghatározásának követelményeit.
7. szakasz: Támogatás – követelményeket határoz meg az erőforrások rendelkezésre állása, kompetenciák, tudatosság, kommunikáció és a dokumentumok és nyilvántartások ellenőrzése.
8. szakasz: Működés – meghatározza a kockázatértékelés és kezelés végrehajtását, valamint az ellenőrzéseket és az információbiztonsági célok eléréséhez szükséges egyéb folyamatokat.
9. szakasz: Teljesítményértékelés – meghatározza a monitorozás, mérés, elemzés, értékelés, belső ellenőrzés és a vezetőség felülvizsgálatának követelményeit.
10. szakasz: Javítás – meghatározza a nem megfelelőségekre, a javításokra, a korrekciós műveletekre és a folyamatos fejlesztésre vonatkozó követelményeket.
Mi az ISO 27001 14 területe?
Ott az ISO 27001 A. mellékletében felsorolt 14 “domain”, az A.5 – A.18 szakaszokba rendezve. A szakaszok a következőkre terjednek ki:
A.5. Információbiztonsági irányelvek: Az ebben a szakaszban található vezérlők ismertesse az információbiztonsági házirendek kezelésének módját.
A.6. Az információbiztonság szervezése: Az ebben a szakaszban található vezérlők biztosítják az alapvető keretrendszert az információbiztonság megvalósításához és működtetéséhez azáltal, hogy meghatározzák annak belső szervezetét (pl. szerepek) , felelősségek stb.), valamint az információbiztonság szervezeti szempontjai révén, például a projektmenedzsment, a mobil eszközök használata és a távmunka.
A.7. Emberi erőforrások biztonsága: Az ebben a szakaszban található ellenőrzések biztosítják, hogy a szervezet irányítása alatt álló embereket biztonságos módon alkalmazzák, képzik és irányítják; a pr foglalkoznak a fegyelmi eljárás elveivel és a megállapodások felmondásával.
A.8. Vagyonkezelés: Az ebben a szakaszban található ellenőrzések biztosítják az információbiztonsági eszközök (pl. Információk, feldolgozó eszközök, tárolóeszközök stb.) Azonosítását, a biztonságukért való felelősség kijelölését és azt, hogy az emberek tudják, hogyan kezeljék őket előre meghatározott osztályozás szerint szintek.
A.9. Belépés ellenőrzése: Az ebben a szakaszban található ellenőrzések az üzleti igényeknek megfelelően korlátozzák az információkhoz és információs eszközökhöz való hozzáférést. A vezérlők fizikai és logikai hozzáférésre egyaránt szolgálnak.
A.10. Titkosítás: Az ebben a szakaszban található vezérlők biztosítják a titkosítási megoldások megfelelő használatának alapját az információk titkosságának, hitelességének és / vagy integritásának védelme érdekében.
A.11. Fizikai és környezeti biztonság: Az ebben a szakaszban szereplő ellenőrzések megakadályozzák az illetéktelen hozzáférést a fizikai területekhez, és megvédik a berendezéseket és a létesítményeket az emberi vagy természetes beavatkozás veszélyétől.
A.12. Műveletek biztonsága: Az ebben a szakaszban található ellenőrzések biztosítják, hogy az informatikai rendszerek, beleértve az operációs rendszereket és szoftvereket is, biztonságosak és védettek legyenek az adatvesztés ellen. Ezen túlmenően az ebben a szakaszban található ellenőrzésekhez eszközökre van szükség az események rögzítéséhez és a bizonyítékok előállításához, a sérülékenységek időszakos ellenőrzéséhez, valamint óvintézkedések megtételéhez, hogy megakadályozzák az ellenőrzési tevékenységek működését.
A.13. Kommunikációs biztonság: Az ebben a szakaszban található vezérlők védik a hálózati infrastruktúrát és szolgáltatásokat, valamint az azokon keresztül közlekedő információkat.
A.14. Rendszerbeszerzés, fejlesztés és karbantartás: Az ebben a szakaszban található ellenőrzések biztosítják, hogy az információbiztonságot figyelembe vegyék új információs rendszerek vásárlásakor vagy a meglévők frissítésekor.
A.15.Beszállítói kapcsolatok: Az ebben a szakaszban található ellenőrzések biztosítják, hogy a beszállítók és a partnerek által végrehajtott kiszervezett tevékenységek megfelelő információbiztonsági ellenőrzéseket is alkalmazzanak, és leírják, hogyan lehet figyelemmel kísérni a harmadik felek biztonsági teljesítményét.
A.16. Információbiztonsági események kezelése: Az ebben a szakaszban szereplő ellenőrzések keretet nyújtanak a biztonsági események és események megfelelő kommunikációjának és kezelésének biztosításához, hogy azokat időben megoldhassák; meghatározzák azt is, hogy miként lehet megőrizni a bizonyítékokat, valamint hogyan lehet tanulni az eseményekből, hogy megakadályozzák azok megismétlődését.
A.17. Az üzletmenet-folytonosság-menedzsment információbiztonsági vonatkozásai: Az ebben a szakaszban található ellenőrzések biztosítják az információbiztonság-kezelés folyamatosságát a megszakítások idején és az információs rendszerek elérhetőségét.
A.18. Megfelelés: Az ebben a szakaszban található ellenőrzések keretet nyújtanak a jogi, törvényi, szabályozási és szerződéses jogsértések megelőzéséhez, és ellenőrzik, hogy az információbiztonság megvalósul-e és hatékony-e az ISO 27001 szabvány meghatározott irányelveinek, eljárásainak és követelményeinek megfelelően.
Ezeknek a területeknek a közelebbi vizsgálata azt mutatja, hogy az információbiztonság kezelése nemcsak az informatikai biztonságról (azaz tűzfalakról, vírusirtókról stb.) szól, hanem a folyamatok kezeléséről, a jogi védelemről, az emberi erőforrások kezeléséről, a fizikai védelem stb.
Melyek az ISO 27001 ellenőrzések?
Az ISO 27001 ellenőrzések (más néven biztosítékok) az a gyakorlat, amelyet a kockázatok elfogadható szintre csökkentésére kell alkalmazni. Az ellenőrzések lehetnek technikai, szervezeti, jogi, fizikai, emberi stb.
Hány vezérlő van az ISO 27001-ben?
Az ISO 27001 A. melléklete 114 vezérlőt sorol fel a 14 szakaszban a fent felsorolt A.5-től A.18-ig.
Hogyan valósítja meg az ISO 27001 vezérlőket?
A technikai ellenőrzéseket elsősorban az információs rendszerekben valósítják meg, szoftverek, hardverek és firmware-elemek segítségével. hozzáadva a rendszerhez. Például. biztonsági mentés, víruskereső szoftverek stb.
A szervezeti ellenőrzéseket a követendő szabályok, valamint a felhasználóktól, az eszközöktől, a szoftverektől és a rendszerektől elvárt viselkedés meghatározásával valósítják meg. Például. Hozzáférés-vezérlési házirend, BYOD-irányelv stb.
A jogi ellenőrzéseket annak biztosításával hajtják végre, hogy a szabályok és a várható viselkedés betartják és betartatják azokat a törvényeket, rendeleteket, szerződéseket és más hasonló jogi eszközöket, amelyeknek a szervezetnek be kell tartania. Például. NDA (nem nyilvánosságra hozatali megállapodás), SLA (szolgáltatási szintű megállapodás) stb.
A fizikai ellenőrzéseket elsősorban olyan berendezések vagy eszközök használatával valósítják meg, amelyek fizikai interakcióban vannak emberekkel és tárgyakkal. Például. CCTV kamerák, riasztórendszerek, zárak stb.
Az emberi erőforrás-ellenőrzéseket úgy hajtják végre, hogy ismereteket, oktatást, készségeket vagy tapasztalatokat nyújtanak az embereknek, hogy tevékenységeiket biztonságos módon végezhessék. Például. biztonságtudatossági képzés, ISO 27001 belső auditori képzés stb.
ISO 27001 kötelező dokumentumok
Az ISO 27001 meghatározza a irányelvek betartásához szükséges irányelvek, eljárások, tervek, nyilvántartások és egyéb dokumentált információk minimális készletét.
Az ISO 27001 előírja a következő dokumentumok megírását:
És ezek a kötelező nyilvántartások:
Természetesen a vállalat dönthet úgy, hogy további biztonsági dokumentumokat ír ki ha szükségesnek találja.
Ezen dokumentumok részletesebb magyarázatának megtekintéséhez töltse le az ISO 27001 (2013-as verzió) által előírt kötelező dokumentáció ingyenes fehér könyvének ellenőrző listáját.
Mennyibe kerül az ISO 27001 ?
Az ISMS bevezetésének és tanúsításának költségei az ISMS hatókörének nagyságától és összetettségétől függenek, amely szervezetenként változik. A költség a megvalósításhoz használt különféle szolgáltatások helyi áraitól is függ.
Általánosságban véve ezeket a költségeket kell figyelembe vennie:
- képzés és irodalom
- külső segítség
- technológiák frissíteni / megvalósítani
- Az alkalmazottak erőfeszítései és ideje
- A tanúsító testület költségei
A tanúsítás részletesebb magyarázatának megtekintéséhez költségeket, töltse le az ISO 27001 megvalósítási projekt költségvetésének kiadása című ingyenes könyvet.
Mi az “ISO 27001 tanúsítás”?
A cég akkreditált meghívásával meghívhatja az ISO 27001 tanúsítványt. tanúsító testület a tanúsítási audit elvégzésére, és ha az ellenőrzés sikeres, kiadja az ISO 27001 tanúsítványt a vállalat számára. Ez a tanúsítvány azt jelenti, hogy a vállalat teljes mértékben megfelel az ISO 27001 szabványnak.
Magánszemély ISO 27001 tanúsítványt kaphat azáltal, hogy részt vesz az ISO 27001 képzésen és leteszi a vizsgát. Ez a tanúsítvány azt jelenti, hogy ez a személy megszerezte a megfelelő készségeket a tanfolyam során.
Meddig érvényes az ISO 27001 az egyszeri tanúsítással?
Amint egy tanúsító testület kiad egy ISO 27001 tanúsítványt egy vállalatnak, az három évig érvényes, amelynek során a tanúsító szervezet felügyeleti ellenőrzéseket végez annak értékelésére, hogy a szervezet megfelelően fenntartja-e az ISMS-t, és ha szükséges fejlesztéseket kellő időben végrehajtanak.
Mely vállalatok rendelkeznek ISO 27001 tanúsítással?
Az ISO.org webhely általános áttekintést nyújt a tanúsított szervezetekről, ipar, ország, webhelyek száma stb. szerint kategorizálva. ISO-felmérés ezen a linken: https://www.iso.org/the-iso-survey.html.
Annak ellenőrzéséhez, hogy egy adott cég rendelkezik-e ISO 27001-tanúsítvánnyal, kapcsolatba kell lépnie a tanúsító szervvel, mert nincs hivatalos központosított tanúsított vállalatok adatbázisa.
Lehet-e valaki ISO tanúsítvánnyal?
Igen, az egyén megszerezheti az ISO 27001 tanúsítványt azáltal, hogy részt vesz a következő képzések közül egy vagy több és átmegy a vizsga:
- ISO 27001 vezető végrehajtói tanfolyam – ez a képzés haladó gyakorlóknak és tanácsadóknak szól. testületek és tanácsadók számára.
- ISO 27001 belső ellenőr tanfolyam – ez a képzés azoknak az embereknek szól, akik belső auditokat végeznek a vállalatukban.
- ISO 27001 alapítványi tanfolyam – ez a képzés azoknak szól, akik meg akarják ismerni a szabvány alapjait és a megvalósítás főbb lépéseit.
Mik az ISO 27000 szabványok?
Mivel meghatározza az ISMS követelményeit, az ISO 27001 az ISO 27000 szabványcsalád fő szabványa. Mivel azonban főleg meghatározza, hogy mire van szükség, de nem határozza meg, hogyan kell ezt végrehajtani, számos más információbiztonsági szabványt fejlesztettek ki további útmutatás nyújtására. Jelenleg az ISO27k sorozatban több mint 40 szabvány van, és a leggyakrabban használtak a következők:
Az ISO / IEC 27000 az ISO 27k szabványsorozatban használt kifejezéseket és definíciókat tartalmazza.
Az ISO / IEC 27002 iránymutatásokat tartalmaz az ISO 27001 A. mellékletében felsorolt vezérlők végrehajtására. Ez nagyon hasznos lehet, mert részleteket tartalmaz az ellenőrzések végrehajtásáról.
ISO / Az IEC 27004 irányelveket tartalmaz az információbiztonság mérésére – jól illeszkedik az ISO 27001 szabványhoz, mert elmagyarázza, hogyan lehet meghatározni, hogy az ISMS elérte-e célkitűzéseit.
Az ISO / IEC 27005 irányelveket tartalmaz az információbiztonsági kockázatkezeléshez. Nagyon jó kiegészítője az ISO 27001 szabványnak, mert részleteket ad arról, hogyan kell elvégezni a kockázatértékelést és a kockázatkezelést, ami valószínűleg a megvalósítás legnehezebb szakasza.
Az ISO / IEC 27017 útmutatásokat nyújt a felhő környezetek információbiztonságához.
Az ISO / IEC 27018 irányelveket tartalmaz a magánélet védelméhez felhőkörnyezetben.
Az ISO / IEC 27031 útmutatásokat ad arról, hogy mit kell figyelembe venni az üzleti folyamatosság fejlesztése során az információs és kommunikációs technológiák (ICT) számára. Ez a szabvány nagyszerű kapcsolatot jelent az információbiztonság és az üzletmenet-folytonossági gyakorlatok között.
Mi az ISO 27001 jelenlegi verziója?
A cikk megjelenési dátumától kezdve az Az ISO 27001 az ISO / IEC 27001: 2013.
Az ISO 27001 első verziója 2005-ben jelent meg (ISO / IEC 27001: 2005), a második verzió 2013-ban, a szabványt utoljára 2019-ben vizsgálták át. , amikor a 2013-as verzió megerősítésre került (azaz nem volt szükség változtatásra).
Fontos megjegyezni, hogy az ISO-tagsággal rendelkező különböző országok lefordíthatják a szabványt a saját nyelvükre, kisebb kiegészítésekkel (pl. , nemzeti előszavak), amelyek nem befolyásolják a szabvány nemzetközi változatának tartalmát. Ezeknek a “verzióknak” további betűk vannak, amelyek megkülönböztetik őket a nemzetközi standardtól, például az NBR ISO / IEC 27001 a “brazil verziót”, míg a BS ISO / IEC 27001 a “brit változatot” jelöli. A szabvány ezen helyi változatai tartalmazzák azt az évet is, amikor a helyi szabványügyi testület elfogadta őket, így a legújabb brit változat a BS EN ISO / IEC 27001: 2017, vagyis az ISO / IEC 27001: 2013-at a British Standards Institution fogadta el.
Mi a különbség az ISO 27001 és a 27002 között?
Az ISO 27001 meghatározza az információbiztonsági irányítási rendszer (ISMS) követelményeit, míg az ISO 27002 útmutatást nyújt a megvalósításhoz az ISO 27001 A. mellékletének vezérlései.
Más szavakkal, az egyes vezérlők esetében az ISO 27001 csak rövid leírást, míg az ISO 27002 részletes útmutatást ad.
Mi a különbség a NIST és ISO 27001?
Míg az ISO 27001 nemzetközi szabvány, a NIST egy amerikai kormányzati szerv, amely népszerűsíti és fenntartja a mérési szabványokat az Egyesült Államokban – többek között az SP 800-as sorozatot, amely olyan dokumentumkészlet, amely meghatározza az információbiztonság bevált módszerei.
Bár nem azonosak, a NIST SP 800 sorozat és az ISO 27001 együtt használható az információbiztonság megvalósításához.
Az ISO 27001 kötelező?
A legtöbb országban az ISO 27001 bevezetése nem kötelező. Néhány ország azonban olyan szabályozást tett közzé, amely bizonyos iparágak számára előírja az ISO 27001 bevezetését.
Annak eldöntéséhez, hogy az ISO 27001 kötelező-e az Ön vállalata számára, szakértői jogi tanácsot kell kérnie abban az országban, ahol működik.
Mik az ISO 27001 ellenőrzések?
A köz- és magánszervezetek jogi követelményként határozhatják meg az ISO 27001 betartását a szolgáltatóikkal kötött szerződéseikben és szolgáltatási szerződéseikben. Továbbá, mint fent említettük, az országok meghatározhatnak törvényeket vagy szabályozásokat, amelyek az ISO 27001 bevezetését törvényi követelménynek tekintik, amelyet a területükön működő szervezeteknek teljesíteniük kell.
Ha többet szeretne megtudni az EU GDPR-jéről és arról, hogy miért alkalmazható az egész világon, olvassa el ezt a cikket.