mi az ISO 27000 szabványsorozat?
az ISO / IEC 270001 szabványcsalád, más néven az ISO 27000 sorozat, a legjobb gyakorlatok sorozata, amelyek segítik a szervezeteket információbiztonságuk javításában.
az ISO (A Nemzetközi Szabványügyi Szervezet) és az IEC (Nemzetközi Elektrotechnikai Bizottság) által közzétett sorozat elmagyarázza, hogyan lehet a legjobb gyakorlatú információbiztonsági gyakorlatokat végrehajtani.
an.,
ezt az ISMS (information security management system) követelményeinek meghatározásával teszi.
az ISMS a kockázatkezelés szisztematikus megközelítése, amely olyan intézkedéseket tartalmaz, amelyek az információbiztonság három pillérét érintik: az embereket, a folyamatokat és a technológiát.
a sorozat 46 egyedi szabványból áll, köztük az ISO 27000 szabványból, amely bevezeti a családot, valamint tisztázza a kulcsfontosságú kifejezéseket és meghatározásokat.,
az ISO szabványok átfogó megértése nem szükséges ahhoz, hogy megnézze, hogyan működik a sorozat, egyesek nem lesznek relevánsak a szervezet számára, de van néhány alapvető is, amelyeket ismernie kell.
ISO 27001
Ez az ISO 27000 sorozat központi szabványa, amely tartalmazza az ISMS végrehajtási követelményeit.
ezt fontos megjegyezni, mivel az ISO IEC 27001: 2013 az egyetlen szabvány a sorozatban, amely ellen a szervezetek auditálhatók és tanúsíthatók.,
Ez azért van, mert áttekintést tartalmaz mindazról, amit meg kell tennie a megfelelés elérése érdekében, amelyet az alábbi szabványok mindegyikében kibővítenek.
ISO 27002
Ez egy kiegészítő szabvány, amely áttekintést nyújt a szervezetek által végrehajtandó információbiztonsági ellenőrzésekről.
a szervezeteknek csak olyan ellenőrzéseket kell elfogadniuk, amelyeket relevánsnak tartanak – ami a kockázatértékelés során nyilvánvalóvá válik.,
az ellenőrzéseket az ISO 27001 A. melléklete ismerteti, de mivel ez lényegében egy gyors lefutás, az ISO 27002 átfogóbb áttekintést tartalmaz, amely elmagyarázza, hogyan működik az egyes vezérlés, mi a célja, és hogyan valósíthatja meg.
ISO 27017 és ISO 27018
ezeket a kiegészítő ISO szabványokat 2015-ben vezették be, elmagyarázva, hogy a szervezeteknek hogyan kell védeniük az érzékeny információkat a felhőben.
Ez különösen fontos lett az utóbbi időben, mivel a szervezetek érzékeny információik nagy részét online szerverekre migrálják.,
az ISO 27017 az információbiztonság gyakorlati kódexe, amely további információkat nyújt az A. melléklet vezérlőinek a felhőben tárolt információkra történő alkalmazásáról.
az ISO 27001 alatt dönthet úgy, hogy ezeket külön vezérlőkészletként kezeli. Tehát az A. mellékletből kiválaszthat egy vezérlőkészletet a “normál” adataihoz, valamint az ISO 27017 vezérlőkészletét a felhőben lévő adatokhoz.
az ISO 27018 lényegében ugyanúgy működik, de külön figyelmet fordít a személyes adatokra.,
ISO 27701
Ez az ISO 27000 sorozat legújabb szabványa, amely kiterjed arra, hogy a szervezeteknek mit kell tenniük egy PIMS (adatvédelmi információkezelő rendszer) végrehajtásakor.
a GDPR (Általános Adatvédelmi Rendelet) alapján jött létre, amely arra utasítja a szervezeteket, hogy fogadjanak el “megfelelő technikai és szervezeti intézkedéseket” a személyes adatok védelme érdekében, de nem mondja ki, hogyan kellene ezt tenniük.
az ISO 27701 kitölti ezt a rést, lényegében az Adatvédelmi feldolgozási vezérlőket az ISO 27001 szabványra csavarozva.
miért használjon ISO 27000 sorozatú szabványt?,
az adatok megsértése az egyik legnagyobb információbiztonsági kockázat, amellyel a szervezetek szembesülnek. Az érzékeny adatokat manapság a vállalkozások minden területén használják, növelve annak értékét a jogszerű és törvénytelen használat érdekében.
havonta számtalan esemény fordul elő, függetlenül attól, hogy számítógépes bűnözők feltörnek egy adatbázisba, vagy az alkalmazottak elveszítik vagy hűtlenítik az információkat. Bárhová is megy az adat, a jogsértés által okozott pénzügyi és reputációs kár pusztító lehet.,
ezért a szervezetek egyre nagyobb mértékben fektetnek be védelmi rendszerükbe, az ISO 27001 szabványt használva a hatékony biztonság érdekében.
az ISO 27001 bármilyen méretű és ágazatbeli szervezetekre alkalmazható, és a keret szélessége azt jelenti, hogy végrehajtása mindig megfelel a vállalkozás méretének.
megtudhatja, hogyan kezdheti el a szabványt az információbiztonság olvasásával & ISO 27001: bevezetés.,
Ez az ingyenes zöld könyv elmagyarázza:
- mi az ISO 27001, hogyan működik az ISMS, és hogyan kapcsolódik az ISO 9001, az ISO 27002 és egyéb szabványokhoz;
- a kockázatértékelések és a kockázatkezelési tervek fontossága;
- hogyan segít a szabvány megfelelni jogi és szabályozási kötelezettségeinek; és
- az ellenőrzési és tanúsítási követelményeknek.,
a blog egy változata eredetileg 2019.október 10-én jelent meg.
ajánlott olvasmány:
- mi a különbség az ISO 27000 és 27001 között