Sistemul de Management pentru Siguranta Informatiei ISO 27001

Ce este ISO 27001?

ISO 27001 este un standard internațional publicat de Organizația Internațională de Standardizare (ISO) și descrie modul de gestionare a securității informațiilor într-o companie. Cea mai recentă revizuire a acestui standard a fost publicată în 2013, iar titlul său complet este acum ISO / IEC 27001: 2013. Prima revizuire a standardului a fost publicată în 2005 și a fost elaborată pe baza standardului britanic BS 7799-2.

ISO 27001 poate fi implementat în orice tip de organizație, profit sau non-profit, privat sau de stat, mic sau mare. A fost scris de cei mai buni experți din lume în domeniul securității informațiilor și oferă metodologie pentru implementarea managementului securității informațiilor într-o organizație. De asemenea, permite companiilor să devină certificate, ceea ce înseamnă că un organism independent de certificare a confirmat că o organizație a implementat securitatea informațiilor conform ISO 27001.

ISO 27001 a devenit cel mai popular standard de securitate a informațiilor la nivel mondial și multe companii au certificat împotriva acestuia - aici puteți vedea numărul de certificate din ultimii doi ani:

Cum funcționează ISO 27001

ISO 27001 vizează protejarea confidențialității, integrității și disponibilității informațiilor într-o companie. Acest lucru se realizează prin a afla ce probleme potențiale ar putea întâmpla cu informațiile (adică, evaluarea riscurilor), și apoi definirea a ceea ce trebuie făcut pentru a preveni astfel de probleme (adică, atenuarea riscului sau tratamentul riscurilor). Prin urmare, filozofia principală a ISO 27001 se bazează pe gestionarea riscurilor: aflați unde sunt riscurile și apoi tratați-le sistematic.

Garanțiile (sau controalele) care urmează a fi puse în aplicare sunt de obicei sub formă de politici, proceduri și implementare tehnică (de exemplu, software și echipamente). Cu toate acestea, în cele mai multe cazuri, companiile au deja toate componentele hardware și software, dar le folosesc într-un mod nesigur - prin urmare, majoritatea implementării ISO 27001 vor fi despre stabilirea regulilor organizatorice (adică scrierea documentelor). necesare pentru a preveni încălcările de securitate. Întrucât o astfel de implementare va necesita administrarea mai multor politici, proceduri, persoane, active etc., ISO 27001 a descris modul de a încadra toate aceste elemente împreună în sistemul de management al securității informațiilor (ISMS).

Așadar, gestionarea securității informațiilor nu se referă doar la securitatea IT (adică, firewall-uri, antivirus etc.) - este vorba și despre gestionarea proceselor, protecția legală, gestionarea resurselor umane, protecția fizică etc.

De ce este ISO 27001 bun pentru compania dvs.?

Există 4 avantaje esențiale pentru afaceri pe care o companie le poate obține prin implementarea acestui standard de securitate a informațiilor:

Respectă cerințele legale - există tot mai multe legi, reglementări și cerințe contractuale legate de securitatea informațiilor, iar vestea bună este că majoritatea acestora pot fi rezolvate prin implementarea ISO 27001 - acest standard vă oferă metodologia perfectă pentru a le respecta pe toate. .

Obțineți un avantaj de marketing - dacă compania dvs. este certificată și concurenții dvs. nu, este posibil să aveți un avantaj asupra acestora în ochii clienților care sunt sensibili pentru păstrarea informațiilor lor în siguranță.

Costuri mai mici - principala filozofie a ISO 27001 este de a preveni incidentele de securitate - și orice incident, mare sau mic, costă bani. Prin urmare, prin prevenirea lor, compania dvs. va economisi destul de mulți bani. Iar cel mai bun lucru dintre toate - investiția în ISO 27001 este mult mai mică decât economiile de costuri pe care le veți obține.

O mai bună organizare - de regulă, companiile cu creștere rapidă nu au timp să se oprească și să-și definească procesele și procedurile - în consecință, foarte des angajații nu știu ce trebuie făcut, când și de cine. Implementarea ISO 27001 ajută la rezolvarea unor astfel de situații, deoarece încurajează companiile să își noteze principalele procese (chiar și cele care nu sunt legate de securitate), ceea ce le permite să reducă timpul pierdut al angajaților lor.

Unde se potrivește managementul securității informațiilor într-o companie

În esență, securitatea informațiilor face parte din managementul riscului general într-o companie, cu domenii care se suprapun cibersecurității, managementului continuității afacerii și managementului IT.

Cum arată de fapt ISO 27001?

ISO / IEC 27001 este împărțit în 11 secțiuni, plus anexa A. Secțiunile 0 - 3 sunt introductive (și nu sunt obligatorii pentru implementare), în timp ce secțiunile 4-10 sunt obligatorii - ceea ce înseamnă că toate cerințele lor trebuie să fie implementate într-o organizație dacă dorește să fie conform cu standardul. Controalele din anexa A trebuie puse în aplicare numai dacă sunt declarate ca aplicabile în Declarația de aplicabilitate.

Conform anexei SL a Organizației internaționale de standardizare a directivelor ISO / IEC, titlurile secțiunii din ISO 27001 sunt aceleași ca în ISO 22301: 2012, în noul ISO 9001: 2015 și în alte standarde de management, permițând integrarea mai ușoară a acestor standarde.

Introducere - explică scopul ISO 27001 și compatibilitatea acestuia cu alte standarde de management.

Domeniul de aplicare - explică faptul că acest standard este aplicabil oricărui tip de organizație.

Referințe normative - se referă la ISO / IEC 27000 ca standard în care sunt dați termeni și definiții.

Termeni și definiții - se referă din nou la ISO / IEC 27000.

Contextul organizației - această secțiune face parte din faza Planului în ciclul PDCA și definește cerințele pentru înțelegerea problemelor externe și interne, părțile interesate și cerințele acestora, precum și definirea sferei ISMS.

Conducere - această secțiune face parte din faza Planului din ciclul PDCA și definește responsabilitățile de conducere superioară, stabilind rolurile și responsabilitățile și conținutul politicii de nivel superior de securitate a informațiilor.

Planificare - această secțiune face parte din faza Planului din ciclul PDCA și definește cerințele pentru evaluarea riscurilor, tratamentul riscurilor, Declarația de aplicabilitate, planul de tratare a riscurilor și stabilirea obiectivelor de securitate a informațiilor.

Sprijin - această secțiune face parte din faza Planului din ciclul PDCA și definește cerințele privind disponibilitatea resurselor, competențelor, conștientizării, comunicării și controlului documentelor și înregistrărilor.

Operare - această secțiune face parte din faza Do în ciclul PDCA și definește implementarea evaluării și tratamentului riscurilor, precum și controale și alte procese necesare pentru atingerea obiectivelor de securitate a informațiilor.

Evaluarea performanței - această secțiune face parte din faza de verificare a ciclului PDCA și definește cerințele pentru monitorizare, măsurare, analiză, evaluare, audit intern și revizuire a managementului.

Îmbunătățire - această secțiune face parte din faza Act în ciclul PDCA și definește cerințele pentru neconformități, corecții, acțiuni corective și îmbunătățiri continue.

Cum se implementează ISO 27001

Pentru a implementa ISO 27001 în compania dvs., trebuie să urmați acești 16 pași:

1) Obțineți sprijin de management de top
2) Utilizați metodologia de gestionare a proiectului
3) Definiți domeniul de aplicare ISMS
4) Scrieți politica de securitate a informațiilor la nivel înalt
5) Definiți metodologia de evaluare a riscului
6) Efectuați evaluarea riscului și tratamentul riscului
7) Scrieți declarația de Aplicabilitate
8) Scrieți planul de tratare a riscurilor
9) Definiți modul de măsurare a eficacității controalelor dvs. și a ISMS-ului dvs.
10) Implementați toate controalele și procedurile aplicabile
11) Implementați programe de formare și conștientizare
12) Efectuați toate operațiunile zilnice prescrise de documentația dvs. ISMS
13) Monitorizați și măsurați ISMS-ul dvs.
14) Efectuați auditul intern
15) Efectuați revizuirea managementului
16) Implementați acțiuni corective

Cum să obțineți certificarea

Există două tipuri de certificate ISO 27001: (a) pentru organizații și (b) pentru persoane fizice . Organizațiile pot obține certificate pentru a dovedi că sunt conforme cu toate clauzele obligatorii ale standardului; persoanele fizice pot participa la curs și vor susține examenul pentru a obține certificatul.

Pentru ca o organizație să devină certificată, trebuie să implementeze standardul așa cum este explicat în secțiunile anterioare, apoi să parcurgă auditul de certificare efectuat de organismul de certificare. Auditul de certificare se realizează în următoarele etape:

• Auditul din etapa 1 (revizuirea documentației) - auditorii vor examina toată documentația.

• Auditul din etapa 2 (Auditul principal) - auditorii vor efectua un audit la fața locului pentru a verifica dacă toate activitățile unei companii sunt conforme cu ISO 27001 și cu documentația ISMS.

• Vizite de supraveghere - după eliberarea certificatului, pe durata valabilității sale de 3 ani, auditorii vor verifica dacă compania își păstrează ISMS.

Persoanele fizice pot merge pentru mai multe cursuri pentru a obține certificate - cele mai populare sunt:

• Cursul de auditor principal ISO 27001 - acest curs de 5 zile vă va învăța cum să efectuați audituri de certificare și este destinat auditorilor și consultanților.

• Cursul de implementare a ISO 27001 - acest curs de 5 zile vă va învăța cum să implementați standardul și este destinat practicienilor de securitate a informațiilor și consultanților.

• Curs de auditor intern ISO 27001 - acest curs de 2 sau 3 zile vă va învăța elementele de bază ale standardului și modul de efectuare a unui audit intern - este destinat începătorilor în acest subiect și auditorilor interni.

Revizuirile ISO 27001

Așa cum am menționat anterior, ISO 27001 a fost publicat pentru prima dată în 2005 și revizuit în 2013 - prin urmare, actuala versiune valabilă este ISO / IEC 27001: 2013.

Cele mai importante schimbări în revizuirea anului 2013 sunt legate de structura părții principale a standardului, părțile interesate, obiectivele, monitorizarea și măsurarea; de asemenea, anexa A a redus numărul de controale de la 133 la 114 și a crescut numărul de secțiuni de la 11 la 14. Unele cerințe au fost șterse din revizuirea din 2013, cum ar fi acțiunile preventive și cerința de a documenta anumite proceduri.

Cu toate acestea, toate aceste schimbări nu au modificat standardul în ansamblu - principala sa filozofie se bazează în continuare pe evaluarea și tratamentul riscurilor și rămân aceleași faze din ciclul Plan-Do-Check-Act. Această nouă revizuire a standardului este mai ușor de citit și de înțeles și este mult mai ușor să o integrați cu alte standarde de management precum ISO 9001, ISO 22301 etc.

Companiile care au fost certificate împotriva ISO / CEI 27001: 2005 trebuie să treacă la noua revizuire din 2013 până în septembrie 2015, dacă doresc să își păstreze certificatul valabil. 

Securitatea informațiilor conexe și alte standarde

ISO / IEC 27002 oferă linii directoare pentru implementarea controalelor enumerate în ISO 27001. ISO 27001 specifică 114 controale care pot fi utilizate pentru a reduce riscurile de securitate, iar ISO 27002 poate fi destul de util, deoarece oferă detalii despre modul de implementare a acestor controale. ISO 27002 a fost denumit anterior ISO / IEC 17799 și a apărut din standardul britanic BS 7799-1.

ISO / IEC 27004 oferă linii directoare pentru măsurarea securității informațiilor - se potrivește bine cu ISO 27001, deoarece explică modul de a determina dacă ISMS și-a atins obiectivele.

ISO / IEC 27005 oferă linii directoare pentru gestionarea riscului de securitate a informațiilor. Este un supliment foarte bun la ISO 27001, deoarece oferă detalii despre modul de efectuare a evaluării riscurilor și a tratamentului riscurilor, probabil cea mai dificilă etapă a implementării. ISO 27005 a apărut din standardul britanic BS 7799-3.

ISO 22301 definește cerințele pentru sistemele de gestionare a continuității afacerii - se potrivește foarte bine cu ISO 27001, deoarece A.17 din ISO 27001 impune implementarea continuității activității; cu toate acestea, nu oferă prea multe detalii. 

ISO 9001 definește cerințele pentru sistemele de management al calității - deși la prima vedere, managementul calității și managementul securității informațiilor nu au prea multe în comun, realitatea este că aproximativ 25% din cerințele ISO 27001 și ISO 9001 sunt aceleași: control document, audit intern, revizuire a managementului, acțiuni corective, stabilirea obiectivelor și gestionarea competențelor. Aceasta înseamnă că, dacă o companie a implementat ISO 9001, va avea o muncă mult mai ușoară punând în aplicare ISO 27001.