Във времена, когато данните и информацията се търгуват като стоки, тяхната защита е от съществено значение. Един от начините за това е да се въведе управление на информационната сигурност на базата на серията стандарти за информационна сигурност ISO/IEC 2700x. Това е фамилия международни стандарти за сигурност в областта на информационните технологии и сигурност на информацията в частни, публични или нестопански организации. На базата на ISO 27001 може да се внедри система за управление на информационната сигурност (СУИС), която организациите и публичните органи могат да създадат, да управляват и да сертифицират за собствена защита.
Стандарти за информационна сигурност: Семейство стандарти ISO 2700X
Отделните стандарти за информационна сигурност от серията ISO 2700x разглеждат разнообразни теми в областта на информационната сигурност. Например, международният стандарт определя ISO 27001 Система за управление на информационната сигурност (СУИС), ISO 27701 система за управление на защитата на данните, ISO 27017 предоставя насоки за мерките за информационна сигурност за изчисления в облак, а ISO 27005 предоставя насоки за управление на риска в областта на информационната сигурност.
Компаниите от всички отрасли могат да се възползват от систематично структурирания подход на тези стандарти за информационна сигурност. Той дава възможност за защита на поверителните данни от загуба и злоупотреба и помага за надеждно идентифициране и намаляване на (потенциалните) заплахи. Подходът помага да се гарантира наличността на корпоративните ИТ системи, като по този начин допринася за оптимизиране на бизнес процесите, разходите за ИТ и процесите, както и за минимизиране на бизнес рисковете и рисковете, свързани с отговорността.
Сертифицирането е конкурентно предимство
Сертифицирането по ISO 27001, например от DQS, изисква определена подготовка и усилия. Въпреки това компанията предоставя документирано доказателство, че спазва изискванията за информационна сигурност и прилага мерки за защита на чувствителни фирмени данни. Това е очевидно конкурентно предимство.
Десет стандарта ISO за информационна сигурност, които трябва да познавате
Списъкът по-долу предоставя информативен преглед на текущото състояние на серията стандарти ISO 2700x в областта на информационната сигурност. Всички стандарти са достъпни за закупуване от уебсайта на ISO.
ISO 27001 - Изисквания към системите за управление на информационната сигурност
Във времена, когато данните и информацията се търгуват като редки стоки, тяхната защита е от съществено значение. Оптимална основа за ефективно прилагане на цялостна стратегия за сигурност осигурява добре структурирана система за управление на информационната сигурност (СУИС) в съответствие със стандарта ISO 27001. Това е международно признат стандарт за информационна сигурност в частни, публични или нестопански организации, който обхваща не само аспектите на ИТ сигурността.
Системата за управление на сигурността на информацията по ISO 27001 определя изискванията, правилата и методите за осигуряване на сигурността на информацията, която изисква защита в организациите. Стандартът на ISO предоставя модел за установяване, прилагане, наблюдение и подобряване на нивото на защита. Целта е да се идентифицират потенциалните рискове за компанията, да се анализират и да се направят контролируеми чрез подходящи мерки. ISO 27001 формулира изискванията за такава система за управление, които се одитират като част от процеса на външна сертификация .
Можете да постигнете това с помощта на стандарта:
- Превръщане на сигурността на чувствителната информация в неразделна част от корпоративните процеси.
- Превантивно гарантиране на целите за защита на поверителността, наличността и целостта на информацията
- Поддържане на непрекъснатостта на дейността чрез непрекъснато подобряване на нивото на сигурност
- Чувствителност на служителите и значително повишаване на осведомеността за сигурността на всички нива в компанията
- Изграждане на доверие със заинтересованите страни
- Създаване на ефективен процес за управление на риска
ISO/IEC 27001:2013Информационни технологии - Техники за сигурност - Системи за управление на сигурността на информацията - Изисквания
ISO 27019 - Мерки за информационна сигурност при доставка на енергия.
Стандартът ISO 27019 за информационна сигурност формулира допълнителни мерки за сектора на енергетиката.
ISO/IEC 27019:2017Information technology - Security techniques - Information security controls for energy utility industry (Информационни технологии - Техники за сигурност - Контрол на информационната сигурност за сектора на енергийните доставки)
Той ви помага да защитите вашите електронни системи за управление на процеси, използвани за контрол и наблюдение на производството, преноса, съхранението и разпределението на електрическа енергия, газ, нефт и топлина, както и за контрол на свързаните с тях спомагателни процеси.
Какво можете да направите със стандарта:
- Систематично да осигурите целите за защита на поверителността, наличността и целостта на информацията.
- Непрекъснато да подобрявате нивото на сигурност и устойчивостта на неоторизиран достъп
- Да постигнете по-голяма сигурност на действията и правна сигурност, да подобрите спазването на съответните изисквания за съответствие
- Повишаване на осведомеността за сигурността сред служителите и ръководителите
- Постигане на високо ниво на доверие и лоялност сред всички заинтересовани страни
- Демонстрирайте признати доказателства за ефективността на вашите мерки за сигурност пред властите, като например Германската федерална агенция за мрежите (BNetzA)
ISO 27006 - Изисквания към сертифициращите органи
ISO 27006 е насочен към органи като DQS, които извършват сертифициране на системи за управление на информационната сигурност. Стандартът за акредитация ISO 27006 описва изискванията, които сертифициращите органи трябва да спазват, когато оценяват системите за управление на своите клиенти по ISO 27001 за сертифициране.
ISO/IEC 27006:2015Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (Информационни технологии - Техники за сигурност - Изисквания към органите, извършващи одит и сертификация на системи за управление на сигурността на информацията)
Това включва например доказване на определени усилия за одит или спецификации за квалификацията на одиторите. Процесите на акредитация, описани в стандарта, гарантират, че сертификатите по ISO 27001, издадени от акредитирани сертифициращи органи, имат международна валидност.
Какво можете да постигнете с този стандарт:
- Единни критерии за процедурите за одит на сертификацията, надзора и ресертификацията
- Гарантиране на валидността на сертификатите по ISO 27001
- Осигуряване на минимални изисквания за одиторски усилия и квалификация на персонала, който изчислява и извършва сертификационните процедури
ISO 27002 - Ръководство за контрол на информационната сигурност
Системата за управление на информационната сигурност (СУИС) съгласно ISO 27001 съдържа нормативно приложение А: Референтни цели на мерките и контролите.
ISO/IEC 27002:2022 Сигурност на информацията, киберсигурност и защита на личните данни - Контроли за информационна сигурност
Това приложение съдържа конкретни мерки, които трябва да бъдат приложени като част от системата за управление, както е уместно за организацията. ISO 27002 е ръководство с препоръки за прилагане на мерките от ISO 27001.
Можете да направите това със стандарта:
- Подкрепа за прилагането на ISO 27001
- Изпълнение на препоръките за мерките в приложение А на ISO 27001
ISO 27000 - Преглед и речник на системите за управление на информационната сигурност
ISO 27000 съдържа термини и определения, които се използват в серията стандарти ISO 2700X. ISO 27000 предоставя преглед на системите за управление на информационната сигурност и серията стандарти ISO 2700х с техните стандарти за информационна сигурност.
ISO/IEC 27000:2018Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Преглед и речник
В речника (техническите) термини са дефинирани изрично и официално.
Какво можете да направите с този стандарт:
- Глосарий: обхват на повечето технически термини, използвани в серията стандарти ISO2700x в областта на информационната сигурност.
- Яснота по отношение на терминологията
- Ясно разбиране на лексиката сред оценяващите и оценяваните ("общ език")
- Преглед на системите за управление на информационната сигурност: въведение в информационната сигурност, управлението на риска и сигурността и системите за управление
ISO 27701 - Ръководство за управление на защитата на данните
Стандартът за информационна сигурност е конкретно свързан с поверителността на данните ISO 27701 определя система за управление на защитата на данните , основана на ISO 27001, ISO 27002 (контрол на информационната сигурност) и ISO 29100 (рамка за защита на личните данни), за да се справи по подходящ начин както с обработката на лични данни, така и със сигурността на информацията. Това се отнася както за администраторите, така и за обработващите лични данни.
ISO/IEC 27701:2019-08 Техники за сигурност - Разширение на ISO/IEC 27001 и ISO/IEC 27002 за управление на информацията за защита на личните данни - Изисквания и насоки
Как можете да постигнете успех с този стандарт:
- По-добро управление на лични данни и информационна сигурност
- По-лесно прилагане на общите принципи за управление на информационния риск към личните данни
- Привеждане в съответствие и разширяване на контрола в рамките на ISO 27001, както и на свързания с него ISO 27002
ISO 27017 - Ръководство за мерки за информационна сигурност в облачните услуги
Стандартът ISO 27017 предоставя ръководство за мерките за информационна сигурност в облачните услуги в рамките на стандартите за информационна сигурност.
ISO/IEC 27017:2015Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 за облачни услуги
Той препоръчва, подкрепя и предоставя допълнителни мерки за прилагане на специфични за облака контроли за информационна сигурност.
Какво можете да постигнете с този стандарт:
- Разбиране на аспектите на информационната сигурност на изчислителните облаци.
- Проектиране и прилагане на специфични за облака контроли за информационна сигурност
- Контрол върху възможностите за избор, прилагане и управление на информационната сигурност за изчисления в облак
ISO 27018 - Ръководство за защита на данните в облачните услуги.
Стандартът ISO 27018 предоставя насоки, за да се гарантира, че доставчиците на облачни услуги предлагат подходящи контроли за информационна сигурност, за да защитят неприкосновеността на личния живот на клиентите си, като обезпечат поверените им лични данни.
ISO/IEC 27018:2019Information technology - techniques - Code of practice for protection of personal identifiable information (PII) in public clouds acting as PII processors (Информационни технологии - техники - Кодекс за защита на лична информация (PII) в публични облаци, действащи като обработващи PII)
Този стандарт е последван от ISO 27017 (Мерки за информационна сигурност в облачните услуги), който обхваща други аспекти на информационната сигурност на изчислителните облаци, а не само защитата на данните.
Ето какво можете да направите със стандарта:
- Изберете контроли за защита на PII като част от внедряването на система за управление на информационната сигурност при изчисления в облак, базирана на ISO 27001.
- Прилагане на общоприети контроли за защита на PII.
- Задълбочаване на познанията, тъй като стандартът се основава на ISO 27002 и разширява общите му съвети в някои области.
- Свързване на принципите на ОИСР за защита на личните данни, въплътени в няколко закона и разпоредби за защита на данните
ISO 27005 - Ръководство за управление на риска в областта на информационната сигурност.
Стандартът ISO 27005 предоставя насоки за управление на риска за информационната сигурност и подкрепя общите концепции в тази област, изложени в ISO 27001.
ISO/IEC 27005:2018-07Information technology - IT security techniques - Information security risk management (Информационни технологии - Техники за информационна сигурност - Управление на риска за информационната сигурност).
ISO 27005 също така е предназначен да подпомага прилагането на информационната сигурност въз основа на концепция за управление на риска.
Можете да направите това с помощта на стандарта:
- Внедряване на информационна сигурност въз основа на концепция за управление на риска.
- Определяне на контекста за управление на риска
- Количествена или качествена оценка (т.е. идентифициране, анализ и оценка) на съответните информационни рискове
- Непрекъснато наблюдение и преглед на рисковете, третирането на рисковете, изискванията и критериите
- Подходящо третиране на рисковете
- Постоянна комуникация с всички заинтересовани страни
Never miss a thing...
Нашият безплатен информационен бюлетин ви държи в течение за одити, системи за управление и сертифициране. Прочетете нашите примери за най-добри практики и получете съвети за вашия график.
ISO 27007 - Ръководство за одитиране на ISMS
ISO 27007 е ръководство за провеждане на одити и е предназначено за вътрешни и външни одитори, които оценяват ISMS в съответствие с ISO/IEC 27001.
ISO/IEC 27007:2020Информационна сигурност, киберсигурност и защита на личните данни - Ръководство за одитиране на системи за управление на информационната сигурност
Ръководството се основава в голяма степен на Ръководството за одитиране на системи за управление (ISO 19011) и предоставя допълнителни насоки за система за управление на информационната сигурност (СУИС).
Ето как можете да постигнете успех в работата със стандарта:
- Ръководство специално за одити на ISMS по ISO 27001
- Ръководство за планиране и провеждане на одити, интегрирано от ISO 19011
- Важна информация за компетенциите на одиторите на ISMS
- Разбиране и извършване на одити на ISMS
DQS - какво можем да направим за вас
DQS е водещ специалист в областта на сертифицирането на системи за управление и процеси от 1985 г. насам. Оттогава историята на DQS е тясно свързана с историята на ISO 9001. Ние предоставяме на клиентите си нашето световно ноу-хау и задълбочено разбиране на стандартите в около 30 000 одиторски дни годишно. Така че можете да видите какви са вашите възможности.
Доверие и опит
Нашите текстове и бели книги са написани изключително от нашите експерти по стандартите или дългогодишни одитори. Както и прегледът на стандартите за информационна сигурност. Ако имате някакви въпроси относно съдържанието на текста или услугите на нашия автор, моля, не се колебайте да се свържете с нас.
Стандарти за информационна сигурност: Други теми от семейството стандарти ISO 2700X
ISO 27003 - Ръководство за разработване и внедряване на ISMS
ISO/IEC 27003:2017
Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Ръководство.
ISO 27004 - Ръководство за методите за измерване на управлението на информационната сигурност
ISO/IEC 27004:2016
Информационни технологии - Техники за сигурност - Управление на информационната сигурност - Мониторинг, измерване, анализ и оценка.
ISO 27008 - Ръководство за оценка на мерките за информационна сигурност
ISO/IEC TS 27008:2019
Информационни технологии - Техники за сигурност - Указания за оценка на контрола на информационната сигурност
ISO 27009 - Ръководство за прилагане на система за управление на информацията в конкретен сектор
ISO/IEC 27009:2020
Сигурност на информацията, киберсигурност и защита на личните данни - Специфично за сектора приложение на ISO/IEC 27001 - Изисквания
ISO 27010 - Ръководство за управление на информационната сигурност за междусекторни и междуорганизационни комуникации
ISO/IEC 27010:2015
Информационни технологии - Техники за сигурност - Управление на информационната сигурност за междусекторни и междуорганизационни комуникации
ISO 27011 - Ръководство за управление на информационната сигурност в телекомуникационния сектор
ISO/IEC 27011:2016
Информационни технологии - Техники за сигурност - Кодекс на практиката за контрол на информационната сигурност, базиран на ISO/IEC 27002 за телекомуникационни организации
ISO 27013 - Ръководство за интегрирано внедряване на ISMS и управление на ИТ услугите
ISO/IEC 27013:2021
Информационна сигурност, киберсигурност и защита на личните данни - Ръководство за интегрирано прилагане на ISO/IEC 27001 и ISO/IEC 20000-1
ISO 27014 - "Управление" на информационната сигурност
ISO/IEC DIS 27014:2020
Информационна сигурност, киберсигурност и защита на личните данни - Управление на информационната сигурност
ISO 27016 - Икономика на управлението на информационната сигурност
ISO/IEC TR 27016:2014
Техники за сигурност. Управление на информационната сигурност. Икономика на организацията
ISO 27021 - Изисквания към компетентността на специалистите по СУИС
ISO/IEC 27021:2017/AMD 1:2021
echniques - Competence requirements for information security management systems professionals - Amendment 1: Addition of ISO/IEC 27001:2013 clauses or subclauses to competence requirements
ISO 27031 - Ръководство за непрекъснатост на дейността
ISO/IEC 27031:2011
Информационни технологии - Техники за сигурност - Насоки за готовност на информационните и комуникационните технологии за непрекъсваемост на бизнеса
СЪВЕТ: Прочетете публикацията ни в блога за управление на непрекъсваемостта на бизнеса, за да научите какво препоръчва стандартът ISO 22301, за да се гарантира продължаването на съществуването на компанията в извънредни ситуации.
ISO 27032 - Ръководство за киберсигурност
ISO/IEC 27032:2012
Информационни технологии - Техники за сигурност - Ръководство за киберсигурност
ISO 27033 - Ръководство за мрежова сигурност
ISO/IEC 27033
Информационни технологии - Техники за сигурност - Мрежова сигурност
Част 1: Част 2: Насоки за проектиране и прилагане на мрежова сигурност, Част 3: Референтни мрежови сценарии - заплахи, техники за проектиране и въпроси на контрола, Част 4: Защита на комуникациите между мрежите чрез използване на шлюзове за сигурност, Част 5: Защита на комуникациите между мрежите чрез използване на виртуални частни мрежи (VPN), Част 6: Защита на безжичния достъп до IP мрежи
ISO 27034 - Ръководство за сигурност на приложенията
ISO/IEC 27034
Информационни технологии - Техники за сигурност - Сигурност на приложенията
Част 1: Преглед и понятия, Част 2: Нормативна рамка на организацията, Част 3: Процес на управление на сигурността на приложенията, Част 4: Валидиране и верифициране, Част 5: Структура на данните за протоколите и контрола на сигурността на приложенията, Част 6: Изследвания на кастинга, Част 7: Рамка за прогнозиране на сигурността
ISO 27035 - Ръководство за управление на инциденти, свързани със сигурността на информацията
ISO/IEC 27035
Информационни технологии - Практики в областта на информационната сигурност - Управление на инциденти в областта на информационната сигурност
Част 1: Основи на управлението на инциденти, Част 2: Насоки за планиране и подготовка за реакция при инциденти, Част 3: Насоки за реакция при инциденти в областта на информационните и комуникационните технологии (проект)
ISO 27036 - Ръководство за взаимоотношенията с доставчиците
ISO/IEC 27036
Информационни технологии - Техники за сигурност - Сигурност на информацията при взаимоотношенията с доставчиците
Част 1: Преглед и концепции, Част 2: Изисквания, Част 3: Насоки за сигурност на веригата на доставки на информационни и комуникационни технологии, Част 4: Насоки за сигурност на облачните услуги
ISO 27037 - Насоки за работа с цифрови доказателства.
ISO/IEC 27037:2012
Техники за сигурност. Насоки за идентифициране, събиране, придобиване и съхраняване на цифрови доказателства
ISO 27038 - Спецификация за редактиране на цифрови данни
ISO/IEC 27038:2014
Техники за сигурност. Спецификация за цифрова редакция
ISO 27039 - Ръководство за системи за откриване на проникване (IDPS)
ISO/IEC 27039:2015
Техники за сигурност. Избор, внедряване и експлоатация на системи за откриване и предотвратяване на прониквания (IDPS)
ISO 27040 - Ръководство за сигурност на съхранението
ISO/IEC 27040:2015
Информационни технологии - Техники за сигурност - Сигурност на съхранението
ISO 27041 - Ръководство за методи за разследване на инциденти
ISO/IEC 27041:2015
Информационни технологии - Техники за сигурност - Ръководство за осигуряване на пригодност и адекватност на метода за разследване на инциденти
ISO 27042 - Ръководство за анализ и тълкуване на цифрови доказателства.
ISO/IEC 27042:2015
Информационни технологии - Техники за сигурност - Указания за анализ и тълкуване на цифрови доказателства
ISO 27043 - Ръководство за процесите на разследване на инциденти.
ISO/IEC 27043:2015
Информационни технологии - Техники за сигурност - Принципи и процеси за разследване на инциденти
ISO 27050 - Ръководство за електронно откриване
ISO/IEC 27050
Информационни технологии - Електронно откриване
Част 1: Преглед и концепции, Част 2: Ръководство за управление и мениджмънт на електронното откриване, Част 3: Кодекс на практиката за електронно откриване
ISO 27102 - Ръководство за киберзастраховане
ISO/IEC 27102:2019
Управление на информационната сигурност - Насоки за киберзастраховане
ISO 27103 - Ръководство за киберсигурност и стандарти на ISO/IEC
ISO/IEC TR 27103:2018
Информационни технологии - Техники за сигурност - Киберсигурност и стандарти ISO и IEC
ISO 27550 - Инженеринг на неприкосновеността на личния живот за процесите от жизнения цикъл на системата
ISO/IEC TR 27550:2019-09
Техники за сигурност. Инженеринг на неприкосновеността на личния живот за процесите от жизнения цикъл на системата
ISO 27799 - Управление на информационната сигурност в сектора на здравеопазването
ISO 27799:2016
Информатика в здравеопазването - Управление на сигурността на информацията в здравеопазването с използване на ISO/IEC 27002
DQS Бюлетин
Gert Krüger
Експерт и ръководител на проекти за информационна сигурност, BSI-KritisV и защита на данните в DQS. Освен това е дългогодишен одитор за управление на качеството и околната среда.