Управление на информационната сигурност – сърцевината на бизнеса
ISO 27001 – единственият международен стандарт за одит в който се определят изискванията за управление на информационната сигурност (СУИC). Стандартът ISO 27001 има за цел да гарантира избора на адекватни механизми за сигурността. Това помага на организациите да защитят информационите си активи и дава увереност на всички заинтересовани страни, особено на клиентите. ISO 27001 е подходящ за всяка организация, голяма или малка, във всеки един сектор и част от света. Той е особено подходящ, когато защитата на информацията е от решаващо значение, като например в областта на финансите, здравеопазването, ИТ сектора, счетоводните услуги и др.Всяка деформация или загуба на информация относно качеството, количеството, разпостранението и значението на бизнеса го поставят в риск. Информацията е от ключово значение за функционирането и може би дори за оцеляването на организацията. В този ред на мисли ISO 27001 е много ефективен за организации, които управляват информацията от името на други, например ИТ аутсорсинг компаниите. По този начин се гарантира защитата на клиентските данни. ISO 27001 се основава на подхода за оценка на риска. Информационната оценка на риска за сигурността се използва за определяне на изискванията за сигурността на организацията и последващо идентифициране на контрола за сигурност, необходим за привеждане на риска в рамките на приемливо ниво за организацията. Този международен стандарт е разработен, за да осигури модела за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на системата за управление на сигурността на информацията т.е. стандартът приема процесния подход “планиране – изпълнение – проверка – действие “. ISO 27001 е разделен на десет основни секции:
- политиката по сигурността обяснява и излага политиката по информационна сигурност
- организационна сигурност – обяснява как трябва да се управлява информационната сигурност;
- класификация и управление на активите – активите включват информация, софтуер, услуги и др. Те са ценни и трябва да се управляват и отчитат;
- сигурност на персонала – обучение, отговорности, процедури за проверка и действия на персонала;
- физическа сигурност и околна среда – физически аспекти на сигурността, включително защита на оборудването и информацията от физически увреждания, както и физически контрол на достъпа до информация и оборудване;
- комуникации и управление на операциите – подходящо управление и сигурна експлоатация на съоръженията за обработка на информацията;
- контрол на достъпа;
- развитие на системата и поддръжка – тази част от стандарта се занимава с въпроси свързани с проектирането и поддръжката на системи ( софтуерни, компютърни мрежи ), така, че те да са сигурни и да се запази цялостта на информацията;
- управление на непрекъснатостта на бизнеса – поддръжка на основните стопански дейности по време на неблагоприятни условия, от справяне с големи бедствия и аварии до незначителни локални проблеми;
- съответствие – отнася се до бизнес съответствия с националните и международни закони и изисквания;