ISO/IEC 27001 Сигурност на информацията, киберсигурност и защита на поверителността. Cистеми за управление на сигурността на информацията – Изисквания
ISO/IEC 27001
На 25 октомври 2022 г. ISO публикува новата версия на ISO/IEC 27001 "Сигурност на информацията, киберсигурност и защита на поверителността. Cистеми за управление на сигурността на информацията – Изисквания" (Information security, cybersecurity and privacy protection – Information security management systems – Requirements).
Промените са направени, за да се приведе текстът на стандарта в съответствие с хармонизираната структура на стандартите за системи за управление (Приложение SL) и ISO/IEC 27002:2022. ISO/IEC 27001:2022 отменя версията от 2013 г. с корекциите от 2014 г. и 2015 г.
ISO/IEC 27001 е един от най-популярните стандарти за информационна сигурност. В него са дефинирани изискванията към управлението на сигурността на информацията, киберсигурността и защитата на поверителността.
Изискванията, заложени в стандарта са релевантни за всички организации, независимо от вида, размера или естеството на дейност. ISO/IEC 27001 е приложим за всякакви видове организации: търговски, нетърговски, правителствени и неправителствени, като най-често се прилага от компании, предоставящи IT услуги, софтуерни разработчици, аутосорсинг компании, банки и финансови институции, държавни организации, търговци, консултанти и други.
ISO/IEC 27001 условно може да се раздели на две части. Първата (основна) част включва клаузи, които определят основните принципи, рамката и управленските процеси, които да подпомагат управлението на риска за информационната сигурност чрез възможно най-ефективното изпълнение на информационните системи.
Клаузи на ISO/IEC 27001:2022:
2 Нормативни позовавания
3 Термини и определения
4 Контекст на организацията
4.1 Разбиране на организацията и нейния контекст
4.2 Разбиране на потребностите и очакванията на заинтересуваните страни
4.3 Определяне на обхвата на системата за управление на сигурността на информацията
4.4 Система за управление на сигурността на информацията
5 Лидерство
5.1 Лидерство и ангажираност
5.2 Политика
5.3 Организационни роли, отговорности и пълномощия
6 Планиране
6.1 Действия за справяне с рискове и възможности
6.2 Цели на сигурността на информацията и планиране за постигането им
7 Поддържане
7.1 Ресурси
7.2 Компетентност
7.3 Осъзнаване
7.4 Обмен на информация
7.5 Документирана информация
8 Работа
8.1 Планиране на работата и контрол
8.2 Оценяване на риска за сигурността на информацията
8.3 Въздействие върху риска за сигурността на информацията
9 Оценяване на работните характеристики
9.1 Мониторинг, измерване, анализ и оценяване
ISO/IEC 27001 Сигурност на информацията, киберсигурност и защита на поверителността. Cистеми за управление на сигурността на информацията – Изисквания
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.