Сертификация на системи за управление - Стандарти:

Какво представлява стандартът ISO/IEC 27001:2005?

Международният стандарт ISO/IEC 27001 задава изисквания към системите за управление на сигурността на информацията (СУСИ) във всякакви организации, независимо от големина, предмет на дейност, вид на продуктите и процесите или други конкретни специфики.

Стандартът определя модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на СУСИ. Прилагането на този модел по отношение на СУСИ зависи от потребностите и целите на организацията, от изискванията по отношение на сигурността, от включените процеси и от големината и структурата на организацията. Основната заложена идея е организацията да защити активите си от определени и/или очаквани заплахи като оцени свързаните с тях рискове и създаде ефикасни защити. С такава цел първо се определят обхватът и границите, за които ще прилага СУСИ и се посочват включените в този обхват активи. Актив може да бъде всяко нещо, което има стойност за организацията. Преди всичко вниманието е насочено към активи, използвани за създаване, обработки, съхранение и обмен на данни, но, освен тях, активи може да бъдат части от инфраструктурата, която ги осигурява, някои свързани с информационния обмен услуги (Интернет, електронна поща) и други.

Други основни моменти при създаване и прилагане на СУСИ са:

• да се извърши и документира оценка на рисковете, при което се използват зададени критерии, за да се определи кои рискове са приемливи и кои изискват обработка, за да бъдат намалени или премахнати;
• избор на цели по контрола и механизми за контрол (изборът се прави от дадения в Приложение А списък), чрез които се намалява или премахва уязвимостта на активите. За прилагане на избраните механизми за контрол може да се ползват указанията и добрите практики, изложени в стандарта ISO/IEC 27002;
• да се състави и приложи План за въздействие върху риска;
• да се внедрят механизмите за контрол и да се определят начини за установяване на тяхната ефикасност;
• да се провеждат обучения и действия за осведомяване на теми, свързани със сигурността;
• да се осигурят бързи и ефикасни реакции за засичане и справяне със събития и инциденти по сигурността.

Както и при другите стандартизирани системи за управление, така и в СУСИ са определени отговорностите на ръководството, управлението на ресурсите, задължителните документи и записи, систематични наблюдения и периодични прегледи, действия за поддържане и подобряване, вътрешни одити и накрая – изискванията за коригиращи и превантивни действия.

Цялостното действие на СУСИ е подчинено на определена чрез характеристиките на дейността, организацията, нейното местоположение, активи и технология Политика по сигурността на информацията. Зададената Политика декларира насочеността и принципите, залегнали в основата на практическите решения и насочва при определяне на цели по сигурността.

Когато една организация създаде и поддържа СУСИ, тя се съобразява не само с изискванията за дейностите си, но отчита, наред с тях, изискванията на нормативните актове и действащите договорни задължения по отношение на сигурността. Така една система СУСИ по модела на ISO/IEC 27001 генерира сигурност, увереност и спокойствие не самов полза на бизнеса на организацията, но и на своите клиенти, доставчици, партньори, а и в полза на обществото като цяло.

Какво е необходимо за успешна сертификация?

Организацията трябва:

• да е изградила система за управление на сигурността на информацията, подходяща за дейностите, които извършва и адекватна на рисковете, пред които е изправена;
• да определи реалистично обхвата на границите на системата за управление на сигурността на информацията;
• периодично да анализира и оценява рисковете, като използва информация, методи и критерии, свързани с изискванията за сигурност, на законите и други нормативни актове и с поетите договорни задължения;
• да съставя планове, провежда обучения и осигурява с ресурси действието на системата;
• да извършва наблюдения, прегледи и вътрешни одити на системата и за действието и ефикасността на механизмите за контрол;
• да подобрява непрекъснато действието и ефикасността на СУСИ

По-подробно за процедурата по сертификация ТУК