Az információ jelen társadalmunk egyik legfontosabb értéke, az információ az "új olaj".
Az üzleti életben a megfelelő információ a megfelelő pillanatban fennmaradást és a fejlődést jelenti, és van amikor egy nagyon fontos adat, információ elvesztése egy szervezet bukását hozhatja. Ilyen eset például, amikor információk, amelyeket csak belső használatra szántak, nyilvánosságra kerülnek. Az információk minőségében, mennyiségében, elosztásában vagy helytállóságában bekövetkező katasztrófa bármelyik vállalatot csődközeli helyzetbe sodorhatja. Ezért nagyon fontos felügyelni az információbiztonsági kockázatokat és lehetőség szerint megelőzni az információvesztést. Az ISO 27001 szabvány történetéről ITT olvashat.
Alapok
Fontos ez nemcsak a vállalati kollektívájának és menedzsmentjének, de az üzleti partnereknek is, mert a bizalmas adatok kiszivárgása esetén a féltett információik is könnyedén az információs feketepiacra kerülhetnek. Az ISO szervezet 2005-ben a 27000-es szabványcsoportot jelölte ki az információbiztonsági irányítási rendszerekkel kapcsolatos szabványok egységes jelölésének, és akkor indította útjára először a tanúsítás alapját képező ISO/IEC 27001:2005 szabványt. (Ez a szabvány a megelőző, már nemzetközileg is elismert BS 7799 szabvány továbbfejlesztésével, javításával és az ISO szabványokba való beemelésével jött létre.) Az Információbiztonság Irányítási Rendszer (IBIR) egy szabályzati- és eljárásgyűjtemény, amely kiválóan integrálható az ISO 9001 minőségirányítási, ISO 14001 környezetirányítási, valamint az OHSAS 18001 szabvány szerint kiépített irányítási rendszerekbe. Az ISO 27000-es család és a Common Criteria alapján készül a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás.
Miért?
Miért jó Önnek, ha bevezeti és tanúsítja vállalkozásában az ISO 27001 Információbiztonsági Irányítási Rendszert?
- a nemzetközileg elismert ISO 27001:2005 szerinti tanúsítás növeli vállalata tekintélyét
- új üzleti lehetőségeket nyithat a biztonságra figyelő vevők vagy ügyfelek megnyerésével
- javíthatja az alkalmazottak morálját és a bizalmasság felismerését a munkahelyen
- lehetővé teszi az információbiztonság betartatását, így csökkenti a csalás, valamint az adatok elvesztésének kockázatát
Javasoljuk ezért, hogy bizonyítsa az információbiztonság iránti elkötelezettségét tanúsítással és követelje meg ugyanezt a beszállítóitól is: ne felejtse el, hogy hanyag információkezelés esetén az Ön üzleti partnereitől is kiszivároghatnak az Ön üzletmenetére kiható információk.
Hogyan?
Az ISO 27001 tizenkét szakaszból áll:
- Biztonsági irányelvek
- Az információbiztonság megszervezése
- Az eszközök kezelése
- Az emberi erőforrások biztonsága
- Fizikai és környezeti biztonság
- Kommunikáció és működtetés
- Menedzsment
- A hozzáférés kezelése
- Az informatikai rendszerek beszerzése, fejlesztése és karbantartása
- Az információbiztonsági események kezelése
- Az üzletvitel folytonosságának biztosítása
- Megfelelőség
Az ISO 27001 Információbiztonsági irányítási rendszer kiépítésének első és igen fontos lépése a jelenleg is fennálló információbiztonsági kockázatok felmérése.
A 27000-es szabványcsoport szabványai
- ISO 27000:2009 – Alapok és szótár
- ISO 27001:2005 – Követelmények
- ISO 27002:2005 – Az informatikai biztonság menedzsmentjének gyakorlati kódexe
- ISO 27003:2010 – A rendszer kialakításának útmutatója
- ISO 27004:2009 – Az információbiztonsági irányítási rendszer mérési lehetőségei
- ISO 27005:2008 – Információbiztonsági kockázatok kezelése
- ISO 27006:2007 – A tanúsító szervezetre vonatkozó követelmények