| Име: | СИ ЕС БИ |
| Адрес: | София, бул. Цар Борис III № 7, ет. 7, офис 10 |
| Телефони: | |
| Факс: |
|
| Уеб сайт: | http://csb-cert.com |
| E-mail: |
|
| Отрасъл: | Консултантски услуги |
| Дейност: | Сертификация на системи за управление |
| Ключови думи: | си ес би, csb, сертификация на системи за управление, сертификационни услуги, сертификация |
Услуги
Галерия
Услуги
ISO 27001 Система за управление на информационната сигурност
(Information technology - Security techniques - Information security management system - Requirements) ISO 27001:2005
Съвременните информационни технологии са в процес на постоянно увеличение на обхвата и значението си. Неимоверно нараства и ролята им във всички сфери на бизнеса - от управлението на отделни бизнес процеси, до управлението на цялата организация. Приемането в последните години на поредица от закони, необходими за пълноправно членство на България в ЕС, непрекъснато усложняващата се среда за извършване на стопанска дейност от субектите по Търговския закон, както и необходимостта от пълноценно извършване на регулаторните и контролни функции на органите за държавно управление налагат използването на информационните ресурси и средства да се извършва по начин, изключващ злоупотребата с тях. На този фон е логична сериозната загриженост за защитата на информацията като основен актив за всяка организация. Наблюдава се увеличаване на натиска от органите за държавно управление за възприемане на политиките по информационна сигурност. Израз на тази държавна политика е новоприетата Наредба за общите изисквания за оперативна съвместимост и информационна сигурност, където недвусмислено в чл. 26 е отредено прилагането на международния стандарт ISO 27001:2005 (Информационни технологии - техники за сигурност - система за управление на информационната сигурност - изисквания).
Целта на стандарта е да служи за създаване, внедряване, използване, наблюдение и подобряване на модел на система за управление на информационна сигурност. Наред с елементите на управлението на компютрите и компютърните мрежи, стандартът отделя голямо внимание на въпросите от политиката на безопасност, работата с персонала (назначаване, обучение, освобождаване), обезпечаването на непрекъснатостта на производствения процес, на юридическите изисквания. ISO 27001:2005 акцентира върху оценка и управление на риска, управление на персонала, физическа сигурност, контрол на достъпа, сигурност при избора, закупуването и ползването на софтуер и хардуер, планове и действия в извънредни ситуации и кризи и др. Изискванията на стандарта имат общ характер и могат да бъдат използвани от широк кръг организации - малки, средни и големи - от търговския и индустриалния сектор на пазара, финансови и застрахователни фирми, фирми от сферата на комуникациите, комуналните услуги, други услуги, транспорт, органи на властта и много други. Системата за управление на информационната сигурност представлява множество от политики, бизнес процеси и процедури, които имат за цел да осигурят защитата на информацията от множество различни заплахи и рискове. Тя спомага повечето информационни активи да станат разбираеми за ръководството на компанията. Чрез нея се определят основните заплахи за безопасността на съществуващите бизнес процеси, да се оцени риска и да се вземат решения за ефективно управление на системата в критични ситуации.
Стандартът ISO 27001 е хармонизиран и съвместим със стандартите на системите за управление на качеството ISO 9001:2008 и на околната среда ISO 14001:2004 и се основава на техните основни принципи. Нещо повече, структурата на документацията по изискванията на ISO 27001 е аналогична по структура на изискванията на ISO 9001. По този начин, ако организацията има система за управление в съответствие с ISO 9001 или ISO 14001, то е препоръчително изпълнението на изискванията на стандарта ISO 27001 да се обезпечава в рамките на вече съществуващите системи, т.е. да се изгради интегрирана система за управление.
Съвременните информационни технологии са в процес на постоянно увеличение на обхвата и значението си. Неимоверно нараства и ролята им във всички сфери на бизнеса - от управлението на отделни бизнес процеси, до управлението на цялата организация. Приемането в последните години на поредица от закони, необходими за пълноправно членство на България в ЕС, непрекъснато усложняващата се среда за извършване на стопанска дейност от субектите по Търговския закон, както и необходимостта от пълноценно извършване на регулаторните и контролни функции на органите за държавно управление налагат използването на информационните ресурси и средства да се извършва по начин, изключващ злоупотребата с тях. На този фон е логична сериозната загриженост за защитата на информацията като основен актив за всяка организация. Наблюдава се увеличаване на натиска от органите за държавно управление за възприемане на политиките по информационна сигурност. Израз на тази държавна политика е новоприетата Наредба за общите изисквания за оперативна съвместимост и информационна сигурност, където недвусмислено в чл. 26 е отредено прилагането на международния стандарт ISO 27001:2005 (Информационни технологии - техники за сигурност - система за управление на информационната сигурност - изисквания).
Целта на стандарта е да служи за създаване, внедряване, използване, наблюдение и подобряване на модел на система за управление на информационна сигурност. Наред с елементите на управлението на компютрите и компютърните мрежи, стандартът отделя голямо внимание на въпросите от политиката на безопасност, работата с персонала (назначаване, обучение, освобождаване), обезпечаването на непрекъснатостта на производствения процес, на юридическите изисквания. ISO 27001:2005 акцентира върху оценка и управление на риска, управление на персонала, физическа сигурност, контрол на достъпа, сигурност при избора, закупуването и ползването на софтуер и хардуер, планове и действия в извънредни ситуации и кризи и др. Изискванията на стандарта имат общ характер и могат да бъдат използвани от широк кръг организации - малки, средни и големи - от търговския и индустриалния сектор на пазара, финансови и застрахователни фирми, фирми от сферата на комуникациите, комуналните услуги, други услуги, транспорт, органи на властта и много други. Системата за управление на информационната сигурност представлява множество от политики, бизнес процеси и процедури, които имат за цел да осигурят защитата на информацията от множество различни заплахи и рискове. Тя спомага повечето информационни активи да станат разбираеми за ръководството на компанията. Чрез нея се определят основните заплахи за безопасността на съществуващите бизнес процеси, да се оцени риска и да се вземат решения за ефективно управление на системата в критични ситуации.
Стандартът ISO 27001 е хармонизиран и съвместим със стандартите на системите за управление на качеството ISO 9001:2008 и на околната среда ISO 14001:2004 и се основава на техните основни принципи. Нещо повече, структурата на документацията по изискванията на ISO 27001 е аналогична по структура на изискванията на ISO 9001. По този начин, ако организацията има система за управление в съответствие с ISO 9001 или ISO 14001, то е препоръчително изпълнението на изискванията на стандарта ISO 27001 да се обезпечава в рамките на вече съществуващите системи, т.е. да се изгради интегрирана система за управление.
