ISO 27001 este un standard international pentru sistemele informatice care ofera politicile si procedurile pentru pastrarea securitatii activelor IT ale unei companii.
Acesta face parte din familia mai larga de standarde IT ISO 27000 care se refera la sistemele de management al securitatii informatiilor, dar se ocupa in special de unificarea proceselor de securitate ale unei afaceri intr-o singura platforma de management.
O parte esentiala a standardului ISO 27001 este mentinerea in control a strategiei de gestionare a riscului a firmei, identificarea problemelor care pot pune in pericol datele companiei si punerea in aplicare a proceselor si procedurilor pentru a preveni aparitia unor probleme.
ISO 27001 reuneste sistemele si liniile directoare, plus certificarea daca o afacere este audiata pentru a-si analiza procesele.
Inainte de elaborarea ISO 27001 (sau BS7799, dupa cum a fost cunoscuta prima data) in anii 1990, organizatiile aveau de multe ori servicii multiple care gestionau securitatea datelor si riscurile, astfel incat standardul ISO 27001 a fost dezvoltat pentru a aduce toate acestea impreuna sub un singur standard. Acum, companiile cauta sa gaseasca o oferta certificare iso 27001 cat mai atractiva, pentru a implementa acest standard.
De exemplu, pre-ISO 27001, anumite domenii ale unei afaceri ar fi putut fi considerate ca fiind un risc ridicat si, prin urmare, aveau politici formale care sa guverneze modul in care au fost tratate aceste date, in timp ce alte parti ale infrastructurii aceleiasi companii, bine ingrijit. Cu noul standard, companiile au reusit sa gestioneze toate aceste componente intr-un singur loc.
Scopul ISO 27001 este de a asigura totul intr-un singur loc sau cu o solutie de management care poate fi supravegheata de catre managerii din intreaga organizatie, mai degraba decat daca fiecare administrator are datoria de a monitoriza doar aspectul afacerii pentru care sunt responsabili.
Istoricul ISO 27001
Orientarea in domeniul securitatii informatice a fost introdusa pentru prima data in 1992, cand Departamentul Comertului si Industriei (DTI) a publicat un cod de practica sau un management al securitatii IT.
In 1995, Institutul de Standarde britanice a republicat-o ca BS7799. Acest lucru a fost revizuit de-a lungul anilor, iar in 2000, a fost rapid urmarit ca un ISO si a devenit ISO 17799.
In 2002, acest lucru a fost actualizat si oa doua parte a introdus – BS7799-2, o specificatie de management al securitatii informatiilor, si nu un cod de practica. Aceasta actualizare a intrat in piesa ISO rapida in 2005 si a devenit ISO27001.
A fost actualizata semnificativ in 2013, revizuind modul in care functioneaza ISO27001. O schimbare majora a fost abordarea tendintei utilizarii bazelor de date pentru stocarea informatiilor, mai degraba decat a documentelor fizice.
Orientari cheie in ISO 27001
Desi exista multe cerinte ale standardului ISO 27001, preocuparile principale (si cele care sunt auditate pentru ca o organizatie sa devina certificata) sunt ca managementul trebuie sa analizeze continuu riscurile de securitate ale intreprinderilor, sa conceapa si sa implementeze o colectie de controale de securitate si cum sa gestioneze riscuri si sa adopte un proces global de gestionare care sa garanteze ca afacerile nu sunt niciodata libere de risc si ca nevoile de securitate sunt abordate in mod continuu. In mod specific, ISO 27001 cere conducerii sa:
- Examinaeze gaurile de securitate ale organizatiei prin evaluarea riscurilor;
- Proiectaeze si sa implementeze o serie completa de controale de securitate;
- Defineasca domeniul de aplicare al ISMS;
- Adopte noi procese pentru a va asigura ca noile controale de securitate raspund nevoilor afacerii.
Cum sa deveniti certificat pentru ISO 27001
Obtinerea certificarii in ISO 27001 este o modalitate excelenta de a demonstra angajamentul companiei dvs. fata de securitatea datelor si arata ca luati in serios managementul securitatii. In cazul in care se confrunta cu doua organizatii, clientii vor alege, de obicei, cel care este certificat peste cel care nu este.
Certificarea ISO 27001 este efectuata de organisme terte de certificare, iar procesele pe care le va analiza fiecare variaza foarte mult.
Inainte de inceperea auditului, conducerea companiei va decide asupra partilor unei afaceri care va fi certificata la finalizare. Aceasta poate fi intreaga organizatie sau doar un departament sau o divizie, in functie de ceea ce conducerea considera potrivit.
Orice lucru care nu este inclus in acest domeniu de aplicare initial nu va fi certificat si, prin urmare, daca numai o parte din afacere este certificata, nu exista garantii, restul organizatiei respecta liniile directoare
