ISO 27001:2013 Системи за управление на сигурността на информацията
Системата за управление на сигурността на информацията ISO 27001 е необходима за всяка организацията, която желае: сигурно споделяне на информацията, създаването на инфраструктура в организацията за информационна сигурност, формирането на екип, подготовката на план за действие при заплаха от риск, подобряването на съществуващите условия за информационна сигурност, създаването на необходимата документация и за създаването на осведоменост на служителите.
Дадена система за управление на сигурността на информацията изисква оценка на цялата информация във Вашата организация и анализ на риска на несъвършенствата на тази информация и заплахите, пред които може да се изправи. Организацията трябва да избере метод за управление на риска и да подготви план за справяне с риска.
За справяне с риска, от стандарта трябва да се изберат целите на контрол и да бъдат изпълнени.
В съответствие с планирането, изпълнението, контролът и цикълът на превенция, изследванията на управлението на риска трябва да продължат докато нивото на риска на сигурността на информацията се намали до дадено разумно ниво.
SO 27001 изисква организациите да подготвят планове за управление на риска и справяне с риска, да определят ролите и отговорностите, да съставят бизнес планове за непрекъснатост, да подготвят планове за спешна реакция и да ги документират по време на изпълнение. Организацията трябва да публикува политика за информационна сигурност, включваща всички тези изследвания и да обучава персонала по сигурността на информацията и заплахите.
Управлението на информационната сигурност като динамичен процес, в който се измерват определените цели на контрол и последователното управление на съответствието с изпълнението, може да се осигури само чрез ефективна подкрепа от страна на ръководството и с участието на служителите.
- Класифициране на информацията;
- Оценка на информацията с оглед на конфиденциалността, интегритета и наличността;
- Съхраняване на записите;
- Преглед от ръководството;
- Сертифициране на риск анализ;
- Идентифициране на контрола на базата на резултатите от анализ на риска
- Документация;
- Осъществяване на контрол;
- Вътрешни одити.Важното относно ISO 27001 е това, че стандартът предлага СИСТЕМА ЗА УПРАВЛЕНИЕ.
ISO 27001 не Ви казва как Вашият компютър няма да бъде заразен. Той няма да Ви каже как хакерите не могат да влязат във Вашия компютър.
Стандартът показва как да се справите и как да управлявате сигурността на информацията като „активен процес“.
- Бизнес непрекъснатост: Подобрява се способността за възстановяване в случай на инцидент и успешното подновяване на дейността. Гарантира се дейността за дълъг период;
- Да бъдеш в мир със свързаните страни: Осигурява се доверие за това, че информацията на на доставчиците и клиентите е защитена;
- Информационна осъзнатост: Организацията придобива сигурност за информацията, която има и нейната стойност;
- Защита на информацията: Организацията определя своите методи за защита с контрол за сигурност и защитава информацията като ги прилага;
- Подобрява се репутацията;
- Информацията е защитена посредством Система;
- Осигурява се конкурентно предимство;
- Увеличава се мотивацията на служителите;
- Необходима е Система за управление на сигурността на информацията за да се гарантира съответствие с Клиентските Процедури и Регламента за подпомагане на търговията.
