iso/iec, iso, 27001, security, information, сигурност, информация

БДС EN ISO/IEC 27001:2017

Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания

Международният стандарт ISO/IEC 27001 задава изисквания към системи за управление на сигурността на информацията (СУСИ) във всякакви организации, независимо от големина, предмет на дейност, вид на продуктите и процесите или други конкретни специфики.

Стандартът определя модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на СУСИ. Прилагането на този модел зависи от потребностите и целите на организацията, от изискванията по отношение на сигурността, от включените процеси и от големината и структурата на организацията – т.е. усвояването на стандарта във всяка отделна система става чрез специфични интерпретации. Основната заложена идея е организацията да защити информацията, независимо от формата на представянето й, от определени и/или очаквани заплахи като оцени свързаните с тях рискове, като планира и създаде ефикасни защити.

С такава цел първо се определят обхватът и границите, за които ще прилага СУСИ, факторите, които могат да повлияят на системата, заинтересованите от сигурността на информацията страни и техните изисквания.

Други основни моменти при създаване и прилагане на СУСИ са:

 • да се извърши и документира оценка на рисковете, при което се използват зададени критерии, за да се степенуват рисковете и за да се определи кои рискове са приемливи и кои изискват обработка, за да бъдат намалени или премахнати. Ползва се определена методика, за да има съпоставимост на резултатите от периодични оценявани;
 • избор на цели по контрола и механизми за контрол (изборът се прави от дадения в Приложения А на стандарта структуриран списък), чрез които се насочва въздействието върху рисковете. За прилагане на избраните механизми за контрол може да се ползват указанията и добрите практики, изложени в стандарта ISO/IEC 27002. Приложение А не е ограничение да се прилагат и други, неспоменати в него, защити;
 • да се състави и приложи План за въздействие върху рисковете, чрез който се внедряват защитите и се определят начини за установяване на ефикасността им;
 • да се осигурят бързи и и ефикасни реакции за засичане и справяне със събития и ициденти по сигурността.

Както и при всички други стандартизирани системи за управление, така и в СУСИ са определени отговорностите на ръководството, управлението на ресурсите, задължителните документи и записи, систематични наблюдения и периодични прегледи, действия за поддържане и подобряване, вътрешни одити и накрая – изискванията за коригиращи и превантивни действия.

Цялостното действие на СУСИ е подчинено на Политика по сигурността на информацията. Зададената от висшето ръководство Политика декларира насочеността и принципите, залегнали в основата на практическите решения и насочва при определяне на конкретни и измерими цели по сигурността.

Когато една организация създаде и поддържа СУСИ, тя се съобразява не само с изискванията за дейностите си, но отчита, наред с тях, изискванията на нормативните актове и действащите договорни задължения по отношение на сигурността. Така една система СУСИ по модела на ISO/IEC 27001 генерира относителна сигурност, увереност и спокойствие не само в полза на бизнеса на организацията, но и в полза на своите клиенти, доставчици, партньори, а и в полза на обществото ни като цяло.

Важно е да се помни! Системите за управление на сигурността на информацията не са универсално и абсолютно средство за защита на информацията, което гарантира пълно спокойствие и сигурна защита. Всяка система, дори и най-добре построена да е, може да бъде разбита от заплаха, която не сме видяли навреме или която сме подценили. Основната полза от системите СУСИ е, че те създават и възпитават атмосфера на чувствителност към факторите, от които зависи сигурността и че дават инструментариум за изпреварващо или за ранно действие спрямо заплахите, които сме установили и задават ред за ефикасни противодействия спрямо заплахи, които са се реализирали, защото не сме ги идентифицирали навреме.


ОБУЧЕНИЕ ПО БДС EN ISO/IEC 27001:2017

(Модул 7)

 

АудиторияОбучението по ISO/IEC 27001:2013 пояснява подробно понятията за сигурност на информацията, заплахи, рискове и обработки на рискове. Да представи принципите, върху които се базират системите за сигурност на информацията и коментира изискванията на стандарта ISO/IEC 27001 и направленията за изграждане на защити

Собственици на фирми и висши мениджъри от всички браншове. Системни администратори. IT сервизни специалисти. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи и на клиентски софтуер. Оператори на IT, на специализирани и на публични услуги. Доставчици на услуги и продукти за „чувствителни“ сектори

Ползи

Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика

 • Общо представяне на ключовите стандарти от серията ISO/IEC 2700X
 • Изясняване и коментар на основни понятия в сферата на сигурността
 • Връзка на външните и вътрешни фактори с обхвата и рисковете
 • Планиране, свързано с критерии, оценяване и обработване на рискове
 • Ресурси в полза на сигурността. Документиране на системата. Примери
 • Мониторинг, одити и прегледи на системата. Примери
 • Структура и основно съдържание на „контролите“ от Приложение А
 • Насочване към информационни източници и към „гуру“ центрове

Предстоящи публични обучения

19 - 23 Март
Модулно обучение за подготовка на Вътрешни одитори и Мениджъри на системи за управлeние
Модул 4 - Организационни и човешки аспекти при въвеждане на стандартизирани системи за управление
Модул 1 - GMP, НАССР, ISO 22000:2005 Системи за управление на безопасността на храните
Модул 2А - БДС EN ISO 9001:2015 Система за управление на качеството. Изисквания
Модул 3 - ISO 19011:2011 Указания за одит на системи за управление
Модул 5А - БДС EN ISO 14001:2015 Системи за управление по отношение на околната среда. Изисквания и указания за прилагане
Модул 7 - БДС EN ISO/IEC 27001:2017
Модул 6 - BS OHSAS 18001:2007 и ISO/FDIS 45001:2017 Система за управление на здравословните и безопасни условия на труд
София view
16 - 20 Април
Модулно обучение за подготовка на Вътрешни одитори и Мениджъри на системи за управлeние
Модул 4 - Организационни и човешки аспекти при въвеждане на стандартизирани системи за управление
Модул 2А - БДС EN ISO 9001:2015 Система за управление на качеството. Изисквания
Модул 3 - ISO 19011:2011 Указания за одит на системи за управление
Модул 5А - БДС EN ISO 14001:2015 Системи за управление по отношение на околната среда. Изисквания и указания за прилагане
Модул 7 - БДС EN ISO/IEC 27001:2017
Модул 6 - BS OHSAS 18001:2007 и ISO/FDIS 45001:2017 Система за управление на здравословните и безопасни условия на труд
Пловдив view
9 - 13 Юли
Модулно обучение за подготовка на Вътрешни одитори и Мениджъри на системи за управлeние
Модул 4 - Организационни и човешки аспекти при въвеждане на стандартизирани системи за управление
Модул 2А - БДС EN ISO 9001:2015 Система за управление на качеството. Изисквания
Модул 3 - ISO 19011:2011 Указания за одит на системи за управление
Модул 5А - БДС EN ISO 14001:2015 Системи за управление по отношение на околната среда. Изисквания и указания за прилагане
Модул 6 - BS OHSAS 18001:2007 и ISO/FDIS 45001:2017 Система за управление на здравословните и безопасни условия на труд
Модул 7 - БДС EN ISO/IEC 27001:2017
Пловдив view
Свързани статии

Информация за внедряване и сертификация

View your previous submissions

Запитване за фирмено обучение

Изберете една или повече теми, по които желаете да се обучите