iso, 27001, iso/iec, iec, сертификат, certificate, sertifikat, informacionna, sigurnost, информационна, сигурност

БДС EN ISO/IEC 27001:2017

Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания
ИНФО

ИНФОРМАЦИЯ ЗА СТАНДАРТА

Международният стандарт ISO/IEC 27001 задава изисквания към системи за управление на сигурността на информацията (СУСИ) във всякакви организации, независимо от големина, предмет на дейност, вид на продуктите и процесите или други конкретни специфики.

Стандартът определя модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на СУСИ. Прилагането на този модел зависи от потребностите и целите на организацията, от изискванията по отношение на сигурността, от включените процеси и от големината и структурата на организацията – т.е. усвояването на стандарта във всяка отделна система става чрез специфични интерпретации. Основната заложена идея е организацията да защити информацията, независимо от формата на представянето й, от определени и/или очаквани заплахи като оцени свързаните с тях рискове, като планира и създаде ефикасни защити.

С такава цел първо се определят обхватът и границите, за които ще прилага СУСИ, факторите, които могат да повлияят на системата, заинтересованите от сигурността на информацията страни и техните изисквания.

Други основни моменти при създаване и прилагане на СУСИ са:

  • да се извърши и документира оценка на рисковете, при което се използват зададени критерии, за да се степенуват рисковете и за да се определи кои рискове са приемливи и кои изискват обработка, за да бъдат намалени или премахнати. Ползва се определена методика, за да има съпоставимост на резултатите от периодични оценявани;
  • избор на цели по контрола и механизми за контрол (изборът се прави от дадения в Приложения А на стандарта структуриран списък), чрез които се насочва въздействието върху рисковете. За прилагане на избраните механизми за контрол може да се ползват указанията и добрите практики, изложени в стандарта ISO/IEC 27002. Приложение А не е ограничение да се прилагат и други, неспоменати в него, защити;
  • да се състави и приложи План за въздействие върху рисковете, чрез който се внедряват защитите и се определят начини за установяване на ефикасността им;
  • да се осигурят бързи и и ефикасни реакции за засичане и справяне със събития и ициденти по сигурността.

Както и при всички други стандартизирани системи за управление, така и в СУСИ са определени отговорностите на ръководството, управлението на ресурсите, задължителните документи и записи, систематични наблюдения и периодични прегледи, действия за поддържане и подобряване, вътрешни одити и накрая – изискванията за коригиращи и превантивни действия.

Цялостното действие на СУСИ е подчинено на Политика по сигурността на информацията. Зададената от висшето ръководство Политика декларира насочеността и принципите, залегнали в основата на практическите решения и насочва при определяне на конкретни и измерими цели по сигурността.

Когато една организация създаде и поддържа СУСИ, тя се съобразява не само с изискванията за дейностите си, но отчита, наред с тях, изискванията на нормативните актове и действащите договорни задължения по отношение на сигурността. Така една система СУСИ по модела на ISO/IEC 27001 генерира относителна сигурност, увереност и спокойствие не само в полза на бизнеса на организацията, но и в полза на своите клиенти, доставчици, партньори, а и в полза на обществото ни като цяло.

Важно е да се помни! Системите за управление на сигурността на информацията не са универсално и абсолютно средство за защита на информацията, което гарантира пълно спокойствие и сигурна защита. Всяка система, дори и най-добре построена да е, може да бъде разбита от заплаха, която не сме видяли навреме или която сме подценили. Основната полза от системите СУСИ е, че те създават и възпитават атмосфера на чувствителност към факторите, от които зависи сигурността и че дават инструментариум за изпреварващо или за ранно действие спрямо заплахите, които сме установили и задават ред за ефикасни противодействия спрямо заплахи, които са се реализирали, защото не сме ги идентифицирали навреме.

ОБУЧЕНИЕ

ОБУЧЕНИЕ ЗА ЗАПОЗНАВАНЕ СЪС СТАНДАРТА

Обучението по ISO/IEC 27001:2013 пояснява подробно понятията за сигурност на информацията, заплахи, рискове и обработки на рискове. Да представи принципите, върху които се базират системите за сигурност на информацията и коментира изискванията на стандарта ISO/IEC 27001 и направленията за изграждане на защити

Аудитория

Собственици на фирми и висши мениджъри от всички браншове. Системни администратори. IT сервизни специалисти. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи и на клиентски софтуер. Оператори на IT, на специализирани и на публични услуги. Доставчици на услуги и продукти за „чувствителни“ сектори

Ползи

Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика

  • Общо представяне на ключовите стандарти от серията ISO/IEC 2700X
  • Изясняване и коментар на основни понятия в сферата на сигурността
  • Връзка на външните и вътрешни фактори с обхвата и рисковете
  • Планиране, свързано с критерии, оценяване и обработване на рискове
  • Ресурси в полза на сигурността. Документиране на системата. Примери
  • Мониторинг, одити и прегледи на системата. Примери
  • Структура и основно съдържание на „контролите“ от Приложение А
  • Насочване към информационни източници и към „гуру“ центрове

Информация за внедряване и сертификация

View your previous submissions

Запитване за фирмено обучение

Изберете една или повече теми, по които желаете да се обучите