In primul rand, este important de mentionat ca numele complet al ISO 27001 este „ISO / IEC 27001 – Tehnologia informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiilor – Cerinte.”
Este cel mai important standard international axat pe securitatea informatiilor, publicat de Organizatia Internationala pentru Standardizare (ISO), in parteneriat cu Comisia Electrotehnica Internationala (IEC).
Ambele sunt organizatii internationale de varf care dezvolta standarde internationale. ISO-27001 face parte dintr-un set de standarde elaborate pentru gestionarea securitatii informatiilor: seria ISO / IEC 27000.
Care este scopul ISO 27001?
ISO 27001 a fost dezvoltat pentru a ajuta organizatiile, de orice dimensiune si din orice industrie, sa isi protejeze informatiile intr-un mod sistematic si rentabil, prin adoptarea unui Sistem de management al securitatii informatiilor (ISMS).
De ce este important ISO 27001?
Standardul nu ofera numai companiilor cunostintele necesare pentru protejarea informatiilor lor cele mai valoroase, dar o companie poate obtine si certificarea ISO 27001, si in acest fel, dovedeste clientilor si partenerilor sai ca le protejeaza datele.
Persoanele pot de asemenea, sa obtina certificatul ISO 27001 prin participarea la un curs si sustinerea examenului si, in acest fel, sa isi demonstreze abilitatile potentiali angajatori.
Deoarece este un standard international, ISO 27001 este usor recunoscut in intreaga lume, crescand oportunitati de afaceri pentru organizatii si profesionisti.
Care sunt cele 3 obiective ISMS de securitate?
Scopul de baza al ISO 27001 este de a proteja trei aspecte ale informatiilor:
- Confidentialitate: numai persoanele autorizate au dreptul de acces la informatii.
- Integritate: numai persoanele autorizate pot schimba informatiile.
- Disponibilitate: informatiile trebuie sa fie accesibile persoanelor autorizate ori de cate ori este nevoie.
Ce este un ISMS?
Un sistem de management al securitatii informatiilor (ISMS) este un set de reguli pe care o companie trebuie sa le stabileasca pentru a:
- identifica partile interesate si asteptarile lor de companie in ceea ce priveste securitatea informatiilor.
- identifica care sunt riscurile pentru informatii.
- defini controale (garantii) si alte metode de atenuare pentru a raspunde asteptarilor identificate si pentru a gestiona riscurile.
- stabili obiective clare cu privire la ce trebuie atins cu securitatea informatiilor.
- implementa toate controalele si alte metode de tratament al riscurilor.
- masura continuu daca controalele implementate functioneaza dupa cum este asteptat.
- aduce imbunatatiri continue pentru ca intregul ISMS sa functioneze mai bine.
Acest set de reguli poate fi notat sub forma de politici, proceduri si alte tipuri de documente sau poate fi sub forma de procese si tehnologii consacrate care nu sunt documentate. ISO 27001 defineste ce documente sunt necesare, adica care trebuie sa existe cel putin.
De ce avem nevoie de ISMS?
Exista patru avantaje esentiale pentru afaceri pe care o companie le poate obtine printr-un audit iso 27001, urmat de implementarea acestui standard de securitate a informatiilor:
Respecta cerintele legale – exista un numar tot mai mare de legi, reglementari si cerinte contractuale legate de securitatea informatiilor, iar vestea buna este ca majoritatea acestora pot fi rezolvate prin implementarea ISO 27001 – acest standard va ofera metodologia perfecta pentru a le respecta pe toate.
Obtineti un avantaj competitiv – daca compania dvs. este certificata si concurentii nu, este posibil sa aveti un avantaj asupra acestora in ochii acelor clienti sensibili in ceea ce priveste pastrarea informatiilor lor in siguranta.
Costuri mai mici – principala filozofie a ISO 27001 este de a preveni incidentele de securitate – si orice incident, mare sau mic, costa bani. Prin urmare, prin prevenirea lor, compania dvs. va economisi destul de multi bani. Iar cel mai bun lucru dintre toate – investitia in ISO 27001 este mult mai mica decat economiile de costuri pe care le veti obtine.
O mai buna organizare – de regula, companiile in crestere rapida nu au timp sa se opreasca si sa-si defineasca procesele si procedurile; astfel ca in consecinta, foarte des angajatii nu stiu ce trebuie facut, cand si de cine. Implementarea ISO 27001 ajuta la rezolvarea unor astfel de situatii, deoarece incurajeaza companiile sa isi noteze principalele procese (chiar si cele care nu sunt legate de securitate), ceea ce le permite sa reduca timpul pierdut de catre angajatii lor.
Cum functioneaza ISO 27001?
ISO 27001 vizeaza protejarea confidentialitatii, integritatii si disponibilitatii informatiilor intr-o companie. Acest lucru se realizeaza prin a afla ce probleme potentiale ar putea intampla cu informatiile (adica, evaluarea riscurilor), si apoi definirea a ceea ce trebuie facut pentru a preveni astfel de probleme (adica, atenuarea riscului sau tratamentul riscurilor).
Prin urmare, filozofia principala a ISO 27001 se bazeaza pe un proces de gestionare a riscurilor: aflati unde sunt riscurile si apoi tratati-le sistematic, prin implementarea controalelor de securitate (sau a garantiilor).
ISO 27001 este obligatoriu?
In majoritatea tarilor, implementarea ISO 27001 nu este obligatorie. Cu toate acestea, unele tari au publicat reglementari care impun anumite industrii sa implementeze ISO 27001.
Pentru a stabili daca ISO 27001 este obligatoriu sau nu pentru compania dvs., trebuie sa cautati consultanta juridica de specialitate in tara in care va desfasurati activitatea.