ISO 27001 Системи за управление сигурността на информацията

Стандартът ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements (БДС ISO/IEC 27001:2017 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания) определя изискванията към системите за управление на сигурността на информацията (СУСИ).

През 2014 и 2015 г. ISO издава допълнителни корекции в ISO/IEC 27001:2013 (Cor 1:2014 и Cor 2:2015), обединени в последното официално издание на Българския институт по стандартизация като БДС ISO/IEC 27001:2017.

Чрез внедряване на СУСИ организацията цели да постигне ефикасно управление на конфиденциалността, целостта и наличността на информацията, която получава, генерира, обработва и достъпва, включително и информацията, предоставена от външни страни (клиенти, доставчици, партньори и други) и осигуряване на съответствие с нормативните и договорни изисквания.

Изискванията на ISO 27001 включват:

  • определяне на политика и цели за управление сигурността на информацията;
  • определяне на обстоятелствата – външни и вътрешни, които влияят на постигането на целите на организацията по отношение осигуряването на сигурността на информацията;
  • определяне на вътрешни и външни заинтересовани страни и техните изисквания;
  • идентифициране, анализ и оценка на рисковете и възможностите, свързани със сигурността на информацията и внедряване на механизми за контрол на рисковете (контроли), целящи задържане или намаляване на рисковете до приемливото за организацията ниво;
  • определяне и спазване на приложимите нормативни и договорни изисквания за осигуряване ефикасно управление на сигурността на информацията;
  • осигуряване непрекъсваемост на процесите и готовност за действие при аварийни ситуации;
  • осигуряване на адекватни механизми за своевременен обмен на информация;
  • внедряване на механизми за контрол, наблюдение, измерване и оценяване на процесите и действията, свързани със сигурността на информацията.

Стандартът е приложим за всяка организация, независимо от нейната големина или предмет на дейност, която желае да намали или отстрани рисковете, свързани със сигурността на информацията.

  • повишена и доказана конкурентоспособност;
  • създадено доверие между организацията и заинтересованите страни;
  • намаляване в максимална степен на възможността за възникване на инциденти и ситуации, свързани със сигурността на информацията, като пробиви, изтичане на информация, прекъсване на критични услуги и други, което би довело до финансови загуби и негативно въздействие върху репутацията.

За допълнителна информация свържете се с нас !