Hva er ISO 27000-serien av standarder?
ISO/IEC 270001-familien av standarder, også kjent som ISO 27000-serien er en serie av beste praksis for å hjelpe organisasjoner med å forbedre informasjonen deres sikkerhet.
Publisert av ISO (International Organization for Standardization) og IEC (International Elektroteknisk Kommisjonen), serien forklarer hvordan å implementere beste praksis praksis for informasjonssikkerhet.
en.,
Det gjør dette ved å sette ut ISMER (information security management system) som trengs.
En ISMER er en systematisk tilnærming til risikostyring, som inneholder tiltak som adresserer de tre pilarene i informasjonssikkerhet: mennesker, prosesser og teknologi.
serien består av 46 enkelte standarder, inkludert ISO 27000, som gir en introduksjon til familien samt avklare viktige begreper og definisjoner.,
Du trenger ikke å ha en helhetlig forståelse av ISO-standarder for å se hvordan serien fungerer, og noen vil ikke være relevant for din organisasjon, men det er et par core de som du bør være kjent med.
ISO 27001
Dette er det sentrale standard i ISO 27000-serien, som inneholder implementering krav til en ISMER.
Dette er viktig å huske, som ISO IEC 27001: 2013 er den eneste standard i serien som organisasjoner kan bli revidert og sertifisert mot.,
Det er fordi den inneholder en oversikt over alt du må gjøre for å oppnå compliance, som er utvidet ved at det i hver av følgende standarder.
ISO 27002
Dette er et tillegg til standarden som gir en oversikt over informasjonssikkerhet kontroller at organisasjoner kan velge å implementere.
Organisasjoner er bare nødvendig å vedta kontroller som de anser som relevante – noe som vil bli klart i løpet av en risikovurdering.,
kontrollene er skissert i Vedlegg A til ISO 27001, men mens dette er egentlig en rask gjennomgåelse, ISO 27002 inneholder en mer omfattende oversikt som forklarer hvordan hver kontrollen fungerer, hva målet er, og hvordan du kan implementere det.
ISO 27017 og ISO 27018
Disse supplerende ISO-standarder ble innført i 2015, forklarer hvordan organisasjoner bør beskytte sensitiv informasjon i Skyen.
Dette har blitt spesielt viktig nylig som organisasjoner overføre mye av sensitiv informasjon på internett-servere.,
ISO 27017 er en code of practice for information security, noe som gir ekstra informasjon om hvordan å søke Vedlegg A-kontroller informasjonen som er lagret i Skyen.
i Henhold til ISO 27001, har du mulighet til å behandle disse som en separat sett av kontroller. Så, du vil velge et sett med kontroller fra Vedlegg A for ‘normale’ data og et sett med kontroller fra ISO 27017 for data i Skyen.
ISO 27018 fungerer i hovedsak på samme måte, men med ekstra vederlag for personlig data.,
ISO 27701
Dette er den nyeste standarden i ISO 27000-serien, som dekker hva organisasjonene må gjøre når du skal implementere en PIMS (privacy information management system).
Det ble opprettet i respons til GDPR (General Data Protection Regulation), som instruerer organisasjoner til å vedta «hensiktsmessige tekniske og organisatoriske tiltak» for å beskytte personlige data, men ikke staten hvordan de bør gjøre det.
ISO 27701 fyller dette gapet, i hovedsak bolting personvern behandling kontrollene på ISO 27001.
Hvorfor bruke en ISO 27000-serien standard?,
Data brudd er en av de største informasjon sikkerhetsrisikoer som organisasjoner står overfor. Sensitive data blir brukt på tvers av alle områder av bedrifter i disse dager, øker sin verdi for legitim og illegitim bruk.
Utallige hendelser inntreffer hver måned, enten det er for kriminelle å bryte seg inn i en database eller ansatte mister eller misappropriating informasjon. Uansett hvor dataene går, økonomiske og omdømmemessige skade forårsaket av et brudd kan være ødeleggende.,
Det er grunnen til at organisasjoner er i stadig større grad investerer tungt i sitt forsvar, ved bruk av ISO 27001 som en retningslinje for effektiv sikkerhet.
ISO 27001 kan brukes til organisasjoner av alle størrelser og i noen sektor, og rammen er bredden betyr at gjennomføringen vil alltid være passende i forhold til størrelse på virksomheten.
Du kan finne ut hvordan du kan komme i gang med Standard ved å lese Informasjon Security & ISO 27001: En innføring.,
Denne gratis grønt papir forklarer:
- Hva ISO 27001 er, hvordan en ISMER fungerer og hvordan den forholder seg til ISO 9001, ISO 27002 og andre standarder;
- viktigheten av risikovurderinger og risiko behandling av planer;
- Hvordan Standard hjelper deg med å oppfylle dine juridiske og regulatoriske forpliktelser; og
- Dine revisjon og sertifisering.,
En versjon av denne bloggen ble opprinnelig publisert på 10 oktober 2019.
Anbefalt lesing:
- Hva er forskjellen mellom ISO 27000 og 27001