ISO 27001

Стандартите от семейството на 27000
Серията стандарти 27000 започва живота си през 1995 г. като BS 7799 и е написан от Министерството на търговията и промишлеността на Обединеното кралство (DTI). Стандартите коректно са озаглавени „ISO/IEC“, защото са разработени и поддържани съвместно от два международни органа по стандартизация: ISO (Международната организация за стандартизация) и IEC (Международната електротехническа комисия). За простота обаче при ежедневна употреба частта „IEC“ често отпада.
В момента има 45 публикувани стандарта от серията ISO 27000. От тях ISO 27001 е единственият стандарт, предназначен за сертифициране. Всички останали стандарти предоставят насоки за прилагането на най-добрите практики. Някои от тях дават насоки как да се разработи Система за Управление на Сигурността на Информацията (СУСИ) за определени отрасли, а други дават насоки как да се приложат ключови процеси и контроли за управление на риска свързан със сигурността на информацията.
Какво е ISO/IEC 27001:2013 ?
Повечето фирми притежават или имат достъп до ценна или чувствителна информация. Ако не се осигури подходяща защита на такава информация, може да има сериозни оперативни, финансови и правни последици. В някои случаи те могат да доведат до пълен бизнес провал.
Предизвикателството, с което повечето фирми се борят, е как да осигурят подходяща защита на такава информация. По-специално как гарантират, че са идентифицирали всички рискове, на които са изложени и как могат да ги управляват по начин, който е балансиран, устойчив и икономически ефективен ?
ISO/IEC 27001:2013 е актуалната версия на международно признатият стандарт за сертифициране на Системи за Управление на Сигурността на информацията (СУСИ). Той осигурява здрава рамка за защита на информацията, която може да бъде адаптирана към всички видове и размери организации. Организациите, които са изложени на значителни рискове, свързани с информационната сигурност, все повече избират да внедрят СУСИ, който е в съответствие с изискванията на стандарт ISO/IEC 27001:2013.
Основни предимства при сертификация в съответствие с ISO/IEC 27001:2013
Информационната сигурност става все по-важна за организациите и затова внедряването и сертифицирането на СУСИ по стандарт ISO/IEC 27001:2013 става все по-често срещано. Повечето организации признават, че не е въпрос дали ще бъдат засегнати от нарушаване на информационната сигурност, а кога. Прилагането на СУСИ и получаването на сертификат по ISO/IEC 27001:2013 е сериозно и мащабно начинание за повечето организации. Въпреки това, ако се направи ефективно, има значителни ползи за организациите, които разчитат на защита на ценната и/или чувствителната информация. Тези ползи обикновено попадат в три области:
•ТЪРГОВСКА
Притежаването на независимо одобрение на СУСИ от трета страна може да осигури на организацията конкурентно предимство или да я даде възможност да „настигне“ конкурентите си. Клиентите, които са изложени на значителни рискове за сигурността на информацията, все повече правят изискването за сертифициране по ISO 27001 при подаване на оферти. Когато клиентът също е сертифициран по ISO 27001, той в средносрочен план ще избере да работи само с доставчици, в чийто контрол на сигурността на информацията има доверие и които могат да спазват техните договорни изисквания. За организации, които искат да работят с този тип клиенти, притежаването на сертификат по ISO 27001 е основно изискване за поддържане и увеличаване на техните търговски приходи.
•ОПЕРАТИВНА
Като цяло сертификацията на СУСИ по ISO 27001 подпомага развитието на вътрешна култура, която е бдителна за рисковете свързани с информационна сигурност и има последователен подход за справяне с тях. Тази последователност води до контроли, които са по-стабилни при справяне със заплахи. Разходите за прилагането и поддържането им също са сведени до минимум и в случай на отказ от тях последствията ще бъдат сведени до минимум и по-ефективно смекчени.
•СПОКОЙСТВИЕ
Много организации имат информация, която е от съществено значение за тяхната дейност, жизненоважна за поддържане на конкурентното им предимство или присъща част от тяхната финансова стойност. Наличието на стабилна и ефективна СУСИ позволява на собствениците на предприятия и мениджърите, отговорни за управлението на рисковете, да спят по-добре през нощта, знаейки, че те не са изложени на риск от тежки глоби, големи разстройства на бизнеса или значителни удари за репутацията им. В днешната икономика, основана на знанието, почти всички организации разчитат на сигурността на основната информация. Функционирането на СУСИ е доказан метод за осигуряване на такава сигурност. Прилагането на изискванията на стандарт ISO 27001 е международно призната рамка за най-добрата практика и спазването му може да бъде независимо проверено, за да подобри имиджа на организацията и да даде увереност на своите клиенти.
Как организацията ще получи сертификат за съответствие със стандарт ISO/IEC 27001:2013
Сертификатът за съответствие със стандарт ISO/IEC 27001:2013 се издава от независима, акредитирана организация при положителни заключения от проведен одит.