LST EN ISO/IEC 27001 auditas, sertifikavimas, priežiūra

Kaip sertifikuoti ISO 27001 Informacinę saugumo valdymo sistemą

Kur rasti oficialų standarto LST EN ISO/IEC 27001 pavadinimą ir galiojančią standarto redakciją?

Aktualią standarto redakciją, standarto keitinius ar korekcijas visada rasite Lietuvos standartizacijos departamento svetainėje.
LST EN ISO/IEC 27001:2017 Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (ISO/IEC 27001:2013, įskaitant Cor.1:2014 ir Cor.2:2015).
EN ISO/IEC 27001:2017 Information technology - Security techniques - Information security management systems - Requirements (ISO/IEC 27001:2013 including Cor 1:2014 and Cor 2:2015).

Apie ISO/IEC 27001 trumpai

Šis tarptautinis standartas buvo parengtas, kad būtų pateiktas informacijos saugumo valdymo sistemos parengimo, įgyvendinimo, techninės priežiūros ir nuolatinio tobulinimo modelis. Informacijos saugumo valdymo sistemos diegimas  įmonėje, organizacijoje yra strateginis organizacijos sprendimas.

ISO/IEC 27001 tikslas

Informacijos saugumo valdymo sistema pagal ISO/IEC 27001 siekiama užtikrinti, kad yra įgyvendintos tinkamos konfidencialumo, vientisumo ir informacijos prieinamumo kontrolės priemonės, siekiant apsaugoti suinteresuotųjų šalių informaciją. Tarp šių suinteresuotų šalių yra klientai, darbuotojai, veiklos partneriai ir bendri visuomenės poreikiai. Neapsaugotos informacijos sistemos yra pažeidžiamos daugeliu kylančių grėsmių, tokių kaip kompiuterinis sukčiavimas, sabotažas, virusai ir kita. Šios grėsmės gali būti vidinės ar išorinės, tiek atsitiktinės, tiek ir tyčinės. Pažeistas informacijos saugumas gali gyvybiškai svarbią informaciją padaryti prieinama, ją pavogti, sugadinti arba prarasti.

ISO/IEC 27001 vertė ir nauda

Organizacija, vykdanti veiklą vadovaujantis standarto ISO/IEC 27001 reikalavimais:

  • identifikuoja silpnąsias sritis ir pasirenka tinkamas priemones, kurios leistų sumažinti galimas informacijos saugumo rizikas organizacijoje. Tai ypač aktualu įmonėms, kurių turimos informacijos atskleidimas gali pakenkti jų reputacijai;
  • nustato informacijos klasifikaciją, kuri leidžia aiškiai apibrėžti, kas organizacijoje yra konfidenciali, slapta informacija, o kas vieša ar vidinio naudojimo informacija,  bei nustato priemones jos saugumo užtikrinimui;
  • nustato informacijos prieigos teises;
  • išsaugo informaciją (darant atsargines kopijas);
  • gerina komunikaciją.

Įdiegus minėto standarto reikalavimus ir sertifikavus šią valdymo sistemą, organizacija deklaruoja, o suinteresuotoji šalis (pvz., klientas ar verslo partneris) žino, kad organizacija tinkamai laikosi informacijos saugumo reikalavimų, kas yra ypač aktualu šiomis dienomis, kai informacija yra brangiausias turtas.

Informacijos saugumo valdymo sistemą gali turėti visos organizacijos, nepriklausomai nuo jų dydžio ar veiklos.

Ar įmanoma integruoti LST EN ISO/IEC 27001 su kitais standartais?

LST EN ISO/IEC 27001 standartas gali būti integruojamas į vieną efektyviai valdomą sistemą kartu su šiais standartais:

  1. ISO/IEC 27017 - informacijos saugumo valdymo gairės debesijos paslaugoms. Šis standartas papildo ISO/IEC 27001, pateikdamas specifines gaires debesijos paslaugų teikėjams ir naudotojams, kaip užtikrinti informacijos saugumą debesijos aplinkose.
  2. ISO/IEC 27002: Informacinių technologijų informacijos saugumo kontrolės gairės. Integruojant ISO/IEC 27002 su ISO/IEC 27001, kuris yra informacijos saugumo valdymo sistemų (ISMS) reikalavimų standartas, organizacija gali sukurti tvirtą ISMS, kurioje ISO/IEC 27002 kontrolės priemonės naudojamos rizikoms, nustatytoms pagal ISO/IEC 27001, valdyti. Tai padidina informacijos saugumo efektyvumą ir užtikrina, kad saugumo priemonės būtų taikomos nuosekliai ir pagal konkrečius organizacijos poreikius.
  3. ISO/IEC 27005: Informacijos saugumo rizikos valdymas. Integruojant ISO/IEC 27005 su ISO/IEC 27001, organizacija gali sukurti sistemingą ir išsamų požiūrį į informacijos saugumo rizikos vertinimą ir valdymą, remdamasi ISO/IEC 27001 reikalavimais dėl informacijos saugumo valdymo sistemų. Tai padeda užtikrinti, kad rizikos vertinimas ir valdymas būtų atliekami nuosekliai, remiantis aiškiais metodais ir procedūromis, taip stiprinant visos ISMS efektyvumą.
  4. ISO/IEC 27008: Gairės informacijos saugumo kontrolės priemonių įgyvendinimo ir testavimo vertinimui. Integruojant ISO/IEC 27008 su ISO/IEC 27001, organizacija gali pagerinti savo ISMS veiksmingumą, įgyvendinant ISO/IEC 27001 nustatytus reikalavimus ir naudojant ISO/IEC 27008 gaires informacijos saugumo kontrolės priemonių vertinimui bei testavimui. Tai padeda užtikrinti, kad įgyvendintos saugumo priemonės yra tinkamos ir veiksmingos atitinkant organizacijos informacijos saugumo tikslus.
  5. ISO/IEC 27009: ISMS sektoriaus specifikacijų reikalavimai. Integruojant ISO/IEC 27009 su ISO/IEC 27001, organizacija gali efektyviau pritaikyti ir įgyvendinti ISMS pagal savo specifinį sektorių ar pramonės šaką, užtikrinant, kad informacijos saugumo valdymo sistema būtų atitinkamai pritaikyta ir optimizuota atsižvelgiant į sektoriaus specifikus reikalavimus ir iššūkius

Plačiau apie integruotą kokybės vadybos sistemą galite rasti skiltyje: "Integruota kokybės vadybos sistema".

Nuo ko pradėti sertifikavimo procesą?

Kad galėtume pateikti pasiūlymą, užpildykite paraišką ir atsiųskite elektroniniu paštu: vs@sertika.lt

Nuoroda į paraiškos atsisiuntimą

Turite papildomų klausimų dėl vadybos sistemos sertifikavimo?

Specialistas
Jūsų klausimo laukia
Vadybos sistemų sertifikavimo padalinio vadovas