LST EN ISO/IEC 27001:2017

LST EN ISO/IEC 27001:2017 Informacinės saugumo valdymo sistemos sertifikavimas

Standarto žymuo

LST EN ISO/IEC 27001:2017 Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (ISO/IEC 27001:2013, įskaitant Cor. 1:2014 ir Cor. 2:2015).

Trumpai

Šis tarptautinis standartas buvo parengtas siekiant pateikti informacijos saugumo valdymo sistemos parengimo, įgyvendinimo, techninės priežiūros ir nuolatinio tobulinimo modelį. Informacijos saugumo valdymo sistemos diegimas yra strateginis organizacijos apsisprendimas.
Tikslas
Sistema pagal ISO/IEC 27001 siekiama užtikrinti, kad yra įgyvendintos tinkamos konfidencialumo, vientisumo ir informacijos prieinamumo kontrolės priemonės, siekiant apsaugoti suinteresuotųjų šalių informaciją. Tarp šių suinteresuotų šalių yra vartotojai, darbuotojai, prekybos partneriai ir bendri visuomenės poreikiai. Neapsaugotos sistemos yra pažeidžiamos daugeliu kylančių grėsmių, tokių kaip kompiuterinis sukčiavimas, sabotažas ir virusai. Šios grėsmės gali būti vidinės ar išorinės, tiek atsitiktinės, tiek ir tyčinės. Pažeistas informacijos saugumas gali gyvybiškai svarbią informaciją padaryti prieinama, ją pavogti, sugadinti arba prarasti.

Vertė

Organizacija, vykdanti veiklą vadovaujantis standarto ISO/IEC 27001 reikalavimais:
  • identifikuoja silpnąsias sritis ir pasirenka tinkamas priemones, kurios leistų sumažinti galimas rizikas organizacijoje. Tai ypač aktualu įmonėms, kurios turi informacijos, kurios atskleidimas gali pakenkti jos reputacija;
  • nustato informacijos klasifikacija, kuri leidžia apibrėžti, kas yra konfidenciali ar slapta informacija bei nustato priemones jos saugumo užtikrinimui;
  • nustato informacijos prieigos teises;
  • išsaugo informaciją (darant atsargines kopijas);
  • gerina komunikaciją.
Įdiegus minėto standarto reikalavimus ir sertifikavus šią valdymo sistemą, organizacija deklaruoja, kad tinkamai laikosi informacijos saugumo reikalavimų, kas yra ypač aktualu šiomis dienomis, kada informacija yra brangiausias turtas.
Informacijos saugumo valdymo sistemą gali turėti visos organizacijos, nepriklausomai nuo jų dydžio ar veiklos.

Integruota vadybos sistema

Informacijos saugumo valdymo sistema gali būti integruojama su kitomis vadybos sistemomis, tokiomis kaip kokybės vadybos sistema (ISO 9001) ar aplinkos apsaugos vadybos sistema (ISO 14001).
 
Diegiant, vystant ir sertifikuojant Informacijos saugumo valdymo sistemą yra remiamasi lydinčiaisiais reikalavimais (kai kurie dokumentai aktualūs tik atitinkamoms veikloms), tokiais kaip:
LST EN ISO/IEC 27002:2017 Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (ISO/IEC 27002:2013, įskaitant Cor.1:2014 ir Cor.2:2015);
ISO/IEC 27017:2015 Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27011:2016 Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27003:2017 Information technology - Security techniques - Information security management systems - Guidance;
ISO/IEC 27004:2016 Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation;
LST ISO/IEC 27005:2018 Informacinės technologijos. Saugumo metodai. Informacijos saugumo rizikos valdymas (tapatus ISO/IEC 27005:2018);
EN ISO/IEC 27007:2020 Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemų audito gairės (ISO/IEC 27007:2017) Information technology - Security techniques - Guidelines for information security management systems auditing (ISO/IEC 27007:2017);
ISO/IEC TS 27008:2019 Information technology - Security techniques - Guidelines for the assessment of information security controls;
ISO/IEC 27009:2016 Information technology - Security techniques - Sector-specific application of ISO/IEC 27001 – Requirements.
 
Plačiau apie informacijos saugumo valdymo sistemos standartą galite www.iso.org (anglų kalba).
Plačiau apie  UAB "Sertika" vadybos sistemos sertifikavimo procesą pateikiama dokumente „Vadybos sistemų sertifikavimo (atitikties vertinimo) nuostatai“ (čia) ir skiltyje „Aktualūs klausimai“ (čia).
Specialistas
Vadybos sistemų sertifikavimo padalinio vadovas