Care este semnificația ISO 27001?
În primul rând, este important să rețineți că numele complet al ISO 27001 este „ISO / IEC 27001 – Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informațiilor – Cerințe. ”
Este cel mai important standard internațional axat pe securitatea informațiilor, publicat de Organizația Internațională pentru Standardizare (ISO), în parteneriat cu Comisia Electrotehnică Internațională (IEC). Ambele sunt organizații internaționale de top care elaborează standarde internaționale.
ISO-27001 face parte dintr-un set de standarde dezvoltate pentru a gestiona securitatea informațiilor: seria ISO / IEC 27000.
Care este scopul ISO 27001?
ISO 27001 a fost dezvoltat pentru a ajuta organizațiile, de orice dimensiune sau orice industrie, să își protejeze informațiile într-un mod sistematic și rentabil, prin adoptarea unui sistem de management al securității informațiilor (ISMS).
De ce este important ISO 27001?
Nu numai că standardul oferă compan Are cunoștințele necesare pentru a-și proteja cele mai valoroase informații, dar o companie poate obține și certificarea împotriva ISO 27001 și, în acest fel, poate dovedi clienților și partenerilor săi că le protejează datele.
Persoanele pot obține, de asemenea, certificatul ISO 27001 participând la un curs și promovând examenul și, în acest fel, dovedindu-și abilitățile potențialilor angajatori.
Deoarece este un standard internațional, ISO 27001 este ușor recunoscut în întreaga lume, sporind oportunitățile de afaceri pentru organizații și profesioniști.
Care sunt cele 3 obiective de securitate ISMS?
Obiectivul de bază al ISO 27001 este protejarea a trei aspecte ale informației:
- Confidențialitate: numai persoanele autorizate au dreptul de a accesa informațiile.
- Integritate: numai persoanele autorizate pot schimba informațiile.
- Disponibilitate: informațiile trebuie să fie accesibile persoanelor autorizate ori de câte ori este nevoie.
Ce este un ISMS?
Un sistem de management al securității informațiilor (ISMS) este un set de reguli pe care o companie trebuie să le stabilească pentru a:
- identifica părțile interesate și așteptările acestora față de companie în ceea ce privește securitatea informațiilor
- identificați riscurile care există pentru informații
- definiți controale (măsuri de protecție) și alte metode de atenuare pentru a satisface așteptările identificate și gestionați riscurile
- stabiliți obiective clare cu privire la ceea ce trebuie atins cu securitatea informațiilor
- implementați toate controalele și alte metode de tratare a riscurilor
- măsurați continuu dacă controalele implementate funcționează conform așteptărilor
- faceți îmbunătățiri continue pentru a face întregul ISMS funcționează mai bine
Acest set de reguli poate fi notat sub formă de politici, proceduri și alte tipuri de documente, sau poate fi sub forma unor procese și tehnologii stabilite care nu sunt documentat. ISO 27001 definește ce documente sunt necesare, adică care trebuie să existe cel puțin.
De ce avem nevoie de ISMS?
Există patru avantaje esențiale pentru afaceri care o companie poate realiza prin implementarea acestui standard de securitate a informațiilor:
Respectați cerințele legale – există un număr tot mai mare de legi, reglementări și cerințe contractuale legate de securitatea informațiilor, iar vestea bună este că majoritatea dintre ele pot fi rezolvate prin implementarea ISO 27001 – acest standard vă oferă metodologia perfectă pentru a le respecta pe toate.
Obțineți un avantaj competitiv – dacă firma dvs. este certificată și concurenții dvs. nu, este posibil să aveți un avantaj față de aceștia în ochii acelor clienți care sunt sensibili la păstrarea informațiilor lor în siguranță.
Costuri mai mici – principala filosofie a ISO 27001 este de a preveni incidentele de securitate – și fiecare incident, mare sau mic, costă bani. Prin urmare, prin prevenirea acestora, compania dvs. va economisi destul de mulți bani. Și cel mai bun lucru dintre toate – investiția în ISO 27001 este mult mai mică decât economiile pe care le veți realiza.
O mai bună organizare – de obicei, companiile cu creștere rapidă nu au timp să se oprească și să-și definească procesele și procedurile – în consecință, foarte des angajații nu știu ce trebuie făcut, când, și de către cine. Implementarea ISO 27001 ajută la rezolvarea unor astfel de situații, deoarece încurajează companiile să își noteze principalele procese (chiar și cele care nu sunt legate de securitate), permițându-le să reducă timpul pierdut de către angajații lor.
Cum funcționează ISO 27001?
Obiectivul ISO 27001 este de a proteja confidențialitatea, integritatea și disponibilitatea informațiilor într-o companie. Acest lucru se realizează aflând ce probleme potențiale s-ar putea întâmpla cu informațiile (adică, evaluarea riscului) și apoi definirea a ceea ce trebuie făcut pentru a preveni apariția unor astfel de probleme (adică, reducerea riscului sau tratamentul riscului).
Prin urmare, principala filosofie a ISO 27001 se bazează pe un proces de gestionare a riscurilor: aflați unde sunt riscurile și apoi tratați-le în mod sistematic, prin implementarea controalelor de securitate (sau a garanțiilor).
ISO 27001 cere unei companii să enumere toate controalele care urmează să fie implementate într-un document numit Declarație de aplicabilitate.
Care sunt cerințele pentru ISO 27001?
Cerințele obligatorii pentru ISO 27001 sunt definite în clauzele sale de la 4 la 10 – aceasta înseamnă că toate acele cerințe trebuie să fie implementate într-o organizație dacă dorește să fie conformă cu standardul. Controalele din anexa A trebuie implementate numai dacă sunt declarate aplicabile în declarația de aplicabilitate.
Cerințele din secțiunile 4-10 pot fi rezumate după cum urmează:
Clauza 4: Contextul organizația – definește cerințele pentru înțelegerea problemelor externe și interne, părțile interesate și cerințele acestora și definirea domeniului ISMS.
Clauza 5: Leadership – definește responsabilitățile de top management, stabilind rolurile și responsabilitățile și conținutul politicii de securitate a informațiilor de nivel superior.
Clauza 6: Planificare – definește cerințele pentru evaluarea riscurilor, tratarea riscurilor, declarația de aplicabilitate, planul de tratare a riscurilor și stabilirea obiectivelor de securitate a informațiilor.
Clauza 7: Asistență – definește cerințele pentru disponibilitatea resurselor, competențelor, conștientizarea, comunicarea și controlul documentelor și înregistrărilor.
Clauza 8: Operațiune – definește implementarea evaluării și tratamentului riscurilor, precum și a controalelor și a altor procese necesare pentru atingerea obiectivelor de securitate a informațiilor.
Clauza 9: Evaluarea performanței – definește cerințele de monitorizare, măsurare, analiză, evaluare, audit intern și revizuire a managementului.
Clauza 10: Îmbunătățire – definește cerințele pentru neconformități, corecții, acțiuni corective și îmbunătățiri continue.
Care sunt cele 14 domenii ale ISO 27001?
sunt 14 „domenii” enumerate în anexa A la ISO 27001, organizate în secțiunile A.5-A.18. Secțiunile acoperă următoarele:
A.5. Politici de securitate a informațiilor: controalele din această secțiune descrieți cum să gestionați politicile de securitate a informațiilor.
A.6. Organizarea securității informațiilor: controalele din această secțiune oferă cadrul de bază pentru implementarea și funcționarea securității informațiilor prin definirea organizării sale interne (de exemplu, rolurile , responsabilități etc.) și prin aspectele organizaționale ale securității informațiilor, cum ar fi gestionarea proiectelor, utilizarea dispozitivelor mobile și telelucrarea.
A.7. Securitatea resurselor umane: controalele din această secțiune asigură că persoanele aflate sub controlul organizației sunt angajate, instruite și gestionate într-un mod sigur; de asemenea, pr se abordează inciplii de acțiune disciplinară și încetarea acordurilor.
A.8. Gestionarea activelor: controalele din această secțiune asigură identificarea activelor de securitate a informațiilor (de exemplu, informații, dispozitive de procesare, dispozitive de stocare etc.), că sunt desemnate responsabilitățile pentru securitatea lor și că oamenii știu cum să le gestioneze conform clasificării predefinite niveluri.
A.9. Control acces: controalele din această secțiune limitează accesul la informații și la activele informaționale în funcție de nevoile reale ale afacerii. Comenzile sunt atât pentru acces fizic, cât și pentru acces logic.
A.10. Criptografie: comenzile din această secțiune oferă baza pentru utilizarea corectă a soluțiilor de criptare pentru a proteja confidențialitatea, autenticitatea și / sau integritatea informațiilor.
A.11. Securitate fizică și de mediu: controalele din această secțiune împiedică accesul neautorizat la zonele fizice și protejează echipamentele și instalațiile de a fi compromise de intervenția umană sau naturală.
A.12. Securitatea operațiunilor: comenzile din această secțiune asigură faptul că sistemele IT, inclusiv sistemele de operare și software-ul, sunt sigure și protejate împotriva pierderii de date. În plus, controalele din această secțiune necesită mijloace pentru a înregistra evenimente și a genera dovezi, verificarea periodică a vulnerabilităților și a lua măsuri de precauție pentru a împiedica activitățile de audit să afecteze operațiunile.
A.13. Securitatea comunicațiilor: comenzile din această secțiune protejează infrastructura și serviciile de rețea, precum și informațiile care călătoresc prin ele.
A.14. Achiziționarea, dezvoltarea și întreținerea sistemului: comenzile din această secțiune asigură faptul că securitatea informațiilor este luată în considerare la achiziționarea de noi sisteme de informații sau la actualizarea celor existente.
A.15.Relații cu furnizorii: controalele din această secțiune asigură faptul că activitățile externalizate efectuate de furnizori și parteneri utilizează și controale de securitate adecvate ale informațiilor și descriu modul de monitorizare a performanțelor de securitate ale terților.
A.16. Gestionarea incidentelor de securitate a informațiilor: controalele din această secțiune oferă un cadru pentru a asigura comunicarea și gestionarea corectă a evenimentelor și incidentelor de securitate, astfel încât acestea să poată fi rezolvate în timp util; de asemenea, definesc cum să păstreze dovezile, precum și cum să învețe din incidente pentru a preveni reapariția lor.
A.17. Aspecte privind securitatea informațiilor privind gestionarea continuității activității: controalele din această secțiune asigură continuitatea managementului securității informațiilor în timpul întreruperilor și disponibilitatea sistemelor de informații.
A.18. Conformitate: controalele din această secțiune oferă un cadru pentru a preveni încălcările legale, legale, de reglementare și contractuale și verifică dacă securitatea informațiilor este implementată și este eficientă în conformitate cu politicile, procedurile și cerințele definite din standardul ISO 27001.
O privire mai atentă asupra acestor domenii ne arată că gestionarea securității informațiilor nu se referă doar la securitatea IT (adică firewall-uri, antivirus etc.), ci și la gestionarea proceselor, protecția legală, gestionarea resurselor umane, fizică protecție etc.
Ce sunt controalele ISO 27001?
Controalele ISO 27001 (cunoscute și sub denumirea de garanții) sunt practicile care trebuie implementate pentru a reduce riscurile la niveluri acceptabile. Controalele pot fi tehnice, organizaționale, juridice, fizice, umane etc.
Câte controale există în ISO 27001?
ISO 27001 Anexa A listează 114 controale organizate în cele 14 secțiuni numerotate de la A.5 la A.18 enumerate mai sus.
Cum implementați controalele ISO 27001?
Controalele tehnice sunt implementate în principal în sistemele de informații, utilizând componente software, hardware și firmware adăugat la sistem. De exemplu. backup, software antivirus etc.
Controalele organizaționale sunt implementate prin definirea regulilor care trebuie respectate și a comportamentului așteptat de la utilizatori, echipamente, software și sisteme. De exemplu. Politica de control al accesului, politica BYOD etc.
Controalele legale sunt implementate asigurându-se că regulile și comportamentele preconizate respectă și aplică legile, reglementările, contractele și alte instrumente juridice similare pe care organizația trebuie să le respecte. De exemplu. NDA (acord de nedivulgare), SLA (acord de nivel de serviciu) etc.
Controalele fizice sunt implementate în principal prin utilizarea de echipamente sau dispozitive care au o interacțiune fizică cu persoane și obiecte. De exemplu. Camerele CCTV, sistemele de alarmă, încuietorile etc.
Controalele resurselor umane sunt implementate prin furnizarea de cunoștințe, educație, abilități sau experiență persoanelor pentru a le permite să își desfășoare activitățile într-un mod sigur. De exemplu. instruire de conștientizare a securității, instruire a auditorului intern ISO 27001 etc.
documente obligatorii ISO 27001
ISO 27001 specifică un set minim de politici, proceduri, planuri, înregistrări și alte informații documentate care sunt necesare pentru a deveni conform.
ISO 27001 necesită următoarele documente:
Și acestea sunt înregistrările obligatorii:
Desigur, o companie poate decide să scrie documente de securitate suplimentare dacă o consideră necesară.
Pentru a vedea o explicație mai detaliată a fiecăruia dintre aceste documente, descărcați gratuit lista albă de verificare a documentației obligatorii cerute de ISO 27001 (revizuirea 2013).
Cât costă ISO 27001 ?
Costurile implementării și certificării ISMS vor depinde de dimensiunea și complexitatea domeniului ISMS, care variază de la o organizație la alta. Costul va depinde și de prețurile locale ale diferitelor servicii pe care le veți utiliza pentru implementare.
În linii mari, acestea sunt câteva dintre costurile pe care ar trebui să le luați în considerare:
- Instruire și literatură
- Asistență externă
- Tehnologii să fie actualizat / implementat
- Efortul și timpul angajaților
- Costul organismului de certificare
Pentru a vedea o explicație mai detaliată a certificării costuri, descărcați cartea albă gratuită Cum să bugetați un proiect de implementare ISO 27001.
Ce este „certificat ISO 27001”?
O companie poate alege certificarea ISO 27001 invitând un acreditat acreditat organism de certificare pentru a efectua auditul de certificare și, dacă auditul are succes, pentru a elibera companiei certificatul ISO 27001. Acest certificat va însemna că compania este pe deplin conformă cu standardul ISO 27001.
O persoană poate alege certificarea ISO 27001 urmând cursul de formare ISO 27001 și promovând examenul. Acest certificat va însemna că această persoană a dobândit abilitățile adecvate în timpul cursului.
Cât timp este valabil ISO 27001 pentru o dată certificat?
Odată ce un organism de certificare emite un certificat ISO 27001 unei companii, acesta este valabil pentru o perioadă de trei ani, timp în care organismul de certificare va efectua audituri de supraveghere pentru a evalua dacă organizația menține corect ISMS, și dacă sunt necesare îmbunătățiri în timp util.
Ce companii sunt certificate ISO 27001?
Site-ul ISO.org oferă o imagine de ansamblu generală a organizațiilor certificate, clasificate în funcție de industrie, țară, număr de site-uri etc. Puteți găsi Sondaj ISO la acest link: https://www.iso.org/the-iso-survey.html.
Pentru a verifica dacă o anumită companie este certificată ISO 27001, trebuie să contactați organismul de certificare, deoarece nu există bază de date oficială centralizată a companiilor certificate.
Poate o persoană să fie certificată ISO?
Da, o persoană poate obține certificarea ISO 27001 participând la unul sau mai multe dintre următoarele cursuri și trecând examenul:
- Curs ISO 27001 Lead Implementer – acest training este destinat practicienilor și consultanților avansați.
- Curs ISO 27001 Lead Auditor – acest training este destinat auditorilor în certificare organisme și consultanți.
- Curs de auditor intern ISO 27001 – acest curs este destinat persoanelor care vor efectua audituri interne în compania lor.
- ISO 27001 Foundations Course – acest curs este destinat persoanelor care doresc să învețe elementele de bază ale standardului și pașii principali în implementare.
Care sunt standardele ISO 27000?
Deoarece definește cerințele pentru un ISMS, ISO 27001 este principalul standard din familia de standarde ISO 27000. Dar, pentru că definește în principal ceea ce este necesar, dar nu specifică cum să se facă, au fost elaborate alte câteva standarde de securitate a informațiilor pentru a oferi îndrumări suplimentare. În prezent, există mai mult de 40 de standarde în seria ISO27k, iar cele mai frecvent utilizate sunt următoarele:
ISO / IEC 27000 oferă termeni și definiții utilizate în seria de standarde ISO 27k.
ISO / IEC 27002 oferă îndrumări pentru implementarea controalelor enumerate în ISO 27001 Anexa A. Poate fi destul de util, deoarece oferă detalii despre modul de implementare a acestor controale.
ISO / IEC 27004 oferă îndrumări pentru măsurarea securității informațiilor – se potrivește bine cu ISO 27001, deoarece explică cum să se determine dacă ISMS și-a atins obiectivele.
ISO / IEC 27005 oferă instrucțiuni pentru gestionarea riscurilor de securitate a informațiilor. Este un supliment foarte bun la ISO 27001, deoarece oferă detalii despre cum să efectuați evaluarea riscului și tratamentul riscului, probabil cea mai dificilă etapă a implementării.
ISO / IEC 27017 oferă instrucțiuni pentru securitatea informațiilor în mediile cloud.
ISO / IEC 27018 oferă instrucțiuni pentru protecția confidențialității în mediile cloud.
ISO / IEC 27031 oferă îndrumări cu privire la ceea ce trebuie luat în considerare atunci când se dezvoltă continuitatea activității pentru tehnologiile informației și comunicațiilor (TIC). Acest standard este o legătură excelentă între securitatea informațiilor și practicile de continuitate a afacerii.
Care este versiunea actuală a ISO 27001?
Începând cu data publicării acestui articol, versiunea actuală a ISO 27001 este ISO / IEC 27001: 2013.
Prima versiune a ISO 27001 a fost lansată în 2005 (ISO / IEC 27001: 2005), a doua versiune în 2013, iar standardul a fost revizuit ultima dată în 2019 , când versiunea 2013 a fost confirmată (adică nu au fost necesare modificări).
Este important să rețineți că diferite țări care sunt membre ISO pot traduce standardul în propriile limbi, făcând adăugări minore (de ex. , prefațe naționale) care nu afectează conținutul versiunii internaționale a standardului. Aceste „versiuni” au litere suplimentare pentru a le diferenția de standardul internațional, de exemplu, NBR ISO / IEC 27001 desemnează „versiunea braziliană”, în timp ce BS ISO / IEC 27001 desemnează „versiunea britanică”. Aceste versiuni locale ale standardului conțin, de asemenea, anul în care au fost adoptate de către organismul local de standardizare, astfel încât cea mai recentă versiune britanică este BS EN ISO / IEC 27001: 2017, ceea ce înseamnă că ISO / IEC 27001: 2013 a fost adoptat de British Standards Institution în 2017.
Care este diferența dintre ISO 27001 și 27002?
ISO 27001 definește cerințele pentru un sistem de management al securității informațiilor (ISMS), în timp ce ISO 27002 oferă îndrumări privind implementarea al controalelor din ISO 27001 Anexa A.
Cu alte cuvinte, pentru fiecare control, ISO 27001 oferă doar o scurtă descriere, în timp ce ISO 27002 oferă îndrumări detaliate.
Care este diferența dintre NIST și ISO 27001?
În timp ce ISO 27001 este un standard internațional, NIST este o agenție guvernamentală americană care promovează și menține standardele de măsurare în Statele Unite – printre acestea seria SP 800, un set de documente care specifică cele mai bune practici pentru securitatea informațiilor.
Deși nu sunt aceleași, seria NIST SP 800 și ISO 27001 pot fi utilizate împreună pentru implementarea securității informațiilor.
ISO 27001 este obligatoriu?
În majoritatea țărilor, implementarea ISO 27001 nu este obligatorie. Cu toate acestea, unele țări au publicat reglementări care impun anumite industrii să implementeze ISO 27001.
Pentru a stabili dacă ISO 27001 este obligatoriu sau nu pentru compania dvs., ar trebui să căutați consiliere juridică de specialitate în țara în care operați.
Care sunt controalele ISO 27001?
Organizațiile publice și private pot defini conformitatea cu ISO 27001 ca o cerință legală în contractele și acordurile de servicii cu furnizorii lor. Mai mult, după cum sa menționat mai sus, țările pot defini legi sau reglementări care transformă adoptarea ISO 27001 într-o cerință legală care trebuie îndeplinită de organizațiile care își desfășoară activitatea pe teritoriul lor.
Pentru a afla mai multe despre GDPR UE și de ce este aplicabil pentru întreaga lume, consultați acest articol.