Információbiztonsági szabványok - áttekintés

TARTALOM

• Információbiztonsági szabványok - áttekintő lista
• A tanúsítás versenyelőnyt jelent
• Tíz ISO információbiztonsági szabvány, amelyet ismernie kell
• Az ISO 2700x szabványcsalád egyéb témái
• DQS - Mit tehetünk az Ön érdekében

Információbiztonsági szabványok: Az ISO 2700X szabványcsalád

Az ISO 2700x szabványsorozat egyes információbiztonsági szabványai az információbiztonság különböző témaköreivel foglalkoznak. A nemzetközi szabvány például a következőket határozza meg ISO 27001 Információbiztonsági irányítási rendszer (ISMS), ISO 27701 adatvédelmi irányítási rendszer, ISO 27017 a felhőalapú számítástechnika információbiztonsági intézkedéseire vonatkozó iránymutatást, az ISO 27005 pedig az információbiztonsági kockázatkezelésre vonatkozó iránymutatásokat tartalmaz.

Az összes iparág vállalatai profitálhatnak az információbiztonságra vonatkozó ezen szabványok szisztematikusan strukturált megközelítéséből. Ez lehetővé teszi a bizalmas adatok védelmét az elvesztés és a visszaélés ellen, és segít a (potenciális) fenyegetések megbízható azonosításában és csökkentésében. A megközelítés segít a vállalati IT-rendszerek rendelkezésre állásának biztosításában, így hozzájárul az üzleti folyamatok, az IT- és folyamatköltségek optimalizálásához, valamint az üzleti és felelősségi kockázatok minimalizálásához.

A tanúsítás versenyelőnyt jelent

A tanúsítás a ISO 27001, például a DQS által, bizonyos mértékű előkészítést és erőfeszítést igényel. A vállalat azonban dokumentáltan bizonyítja, hogy megfelel az információbiztonsági követelményeknek, és intézkedéseket hajt végre az érzékeny vállalati adatok védelme érdekében. Ez egyértelmű versenyelőny.

Tíz ISO-szabvány az információbiztonságról, amelyeket ismernie kell

Az alábbi lista informatív áttekintést nyújt az ISO 2700x szabványsorozat információbiztonsággal kapcsolatos jelenlegi állásáról. Valamennyi szabvány megvásárolható az ISO weboldalán.

ISO 27001 - Az információbiztonsági irányítási rendszerekre vonatkozó követelmények

Azokban az időkben, amikor az adatokkal és információkkal ritka árucikkként kereskednek, védelmük alapvető fontosságú. A holisztikus biztonsági stratégia hatékony megvalósításának optimális alapját egy jól felépített információbiztonsági irányítási rendszer (ISMS) biztosítja, amely megfelel a következő szabványnak ISO 27001. Ez egy nemzetközileg elismert szabvány a magán-, állami vagy nonprofit szervezetek információbiztonságára, amely nem csak az IT-biztonság szempontjaira terjed ki.

Az ISO 27001 ISMS meghatározza a szervezetekben a védelmet igénylő információk biztonságának biztosítására vonatkozó követelményeket, szabályokat és módszereket. Az ISO-szabvány modellt nyújt a védelem szintjének kialakításához, végrehajtásához, ellenőrzéséhez és javításához. A cél a vállalatot fenyegető potenciális kockázatok azonosítása, elemzése és megfelelő intézkedésekkel való ellenőrizhetővé tétele. Az ISO 27001 megfogalmazza az ilyen irányítási rendszerre vonatkozó követelményeket, amelyeket egy külső tanúsítási folyamat keretében auditálnak .

Ezt a szabvány segítségével érheti el:

• Az érzékeny információk biztonságának a vállalati folyamatok szerves részévé tétele.
• Az információk bizalmas jellegének, rendelkezésre állásának és sértetlenségének védelmi céljainak megelőző biztosítása.
• Az üzletmenet folytonosságának fenntartása a biztonsági szint folyamatos javítása révén.
• Az alkalmazottak érzékenyítése és a biztonságtudatosság jelentős növelése a vállalat minden szintjén
• Bizalomépítés az érdekelt felekkel
• Hatékony kockázatkezelési folyamat kialakítása

ISO 27019 - Információbiztonsági intézkedések az energiaellátásban.

Az ISO 27019 információbiztonsági szabvány kiegészítő intézkedéseket fogalmaz meg az energiaipari ágazat számára.

Ez a szabvány segít az elektromos energia, gáz, olaj és hő termelésének, átvitelének, tárolásának és elosztásának, valamint a kapcsolódó támogató folyamatok vezérlésére és felügyeletére használt elektronikus folyamatirányító rendszerek biztonságossá tételében.

Mit tehet a szabvány segítségével:

• Szisztematikusan biztosíthatja az információk titkosságára, rendelkezésre állására és sértetlenségére vonatkozó védelmi célokat.
• Folyamatosan javítsa a biztonsági szintet és a jogosulatlan hozzáféréssel szembeni ellenállást.
• Nagyobb cselekvési biztonság és jogbiztonság elérése, a vonatkozó megfelelési követelmények betartásának javítása.
• Növelje a munkatársak és a vezetők biztonságtudatosságát
• Magas szintű bizalom és lojalitás elérése minden érdekelt fél körében
• A biztonsági intézkedések hatékonyságának elismert bizonyítása a hatóságok, például a Német Szövetségi Hálózati Ügynökség (BNetzA) felé.

ISO 27006 - A tanúsító szervezetekre vonatkozó követelmények

Az ISO 27006 az olyan szervezeteknek szól, mint a DQS, amelyek az információbiztonsági irányítási rendszerek tanúsítását végzik. Az ISO 27006 akkreditációs szabvány leírja azokat a követelményeket, amelyeket a tanúsító szervezeteknek be kell tartaniuk, amikor ügyfeleik ISO 27001 szerinti irányítási rendszereit tanúsítás céljából értékelik.

Ide tartozik például a meghatározott auditálási erőfeszítések igazolása vagy az auditorok képesítésére vonatkozó előírások. A szabványban vázolt akkreditációs folyamatok garantálják, hogy az akkreditált tanúsító szervezetek által kiadott ISO 27001 tanúsítványok nemzetközi érvényességgel bírnak.

Mit érhet el ezzel a szabvánnyal:

• Egységes kritériumok a tanúsítási, felügyeleti és újratanúsítási auditálási eljárásokhoz.
• Az ISO 27001 tanúsítványok érvényességének biztosítása
• Az auditálási erőfeszítésekre és a tanúsítási eljárásokat számító és végző személyzet képesítésére vonatkozó minimumkövetelmények biztosítása.

ISO 27002 - Útmutató az információbiztonsági ellenőrzésekhez

Az ISO 27001 szerinti információbiztonsági irányítási rendszer (ISMS) tartalmaz egy normatív A. mellékletet: Referencia ellenőrzési célok és ellenőrzések. Ez a melléklet az irányítási rendszer részeként végrehajtandó konkrét intézkedéseket tartalmaz, a szervezetre vonatkozóak szerint. Az ISO 27002 az ISO 27001-es szabványból származó intézkedések végrehajtására vonatkozó ajánlásokat tartalmazó iránymutatás.

Az iránymutatást 2022 elején átfogóan felülvizsgálták és frissítették. Az új kiadás pontos végrehajtási útmutatást nyújt az információbiztonsági vezetőknek, hogy az információbiztonsági kockázatok kezelésére szolgáló fontos intézkedések ne maradjanak figyelmen kívül.

Mit tehet ezzel a szabvánnyal:

• Az ISO 27001 bevezetésének támogatása
• Az ISO 27001 A. mellékletében szereplő ellenőrzésekre vonatkozó ajánlások végrehajtása.

ISO 27000 - Az információbiztonság-irányítási rendszerek áttekintése és fogalomtára

Az ISO 27000 olyan fogalmakat és meghatározásokat tartalmaz, amelyeket az ISO 2700X szabványsorozatban használnak. Az ISO 27000 áttekintést nyújt az információbiztonság-irányítási rendszerekről és az ISO 2700x szabványsorozatról az információbiztonsági szabványokkal.

A szójegyzékben a (szak)kifejezések explicit és formális meghatározása történik.

Mit tehet ezzel a szabványal:

• Szótár: az ISO2700x szabványsorozatban az információbiztonság területén használt legtöbb szakkifejezés lefedése.
• A terminológia egyértelműsége
• A szókincs egyértelmű megértése az értékelők és az értékelők között ("közös nyelv").
• Az információbiztonság-irányítási rendszerek áttekintése: az információbiztonság, a kockázat- és biztonságkezelés, valamint az irányítási rendszerek bevezetése.

ISO 27701 - Útmutató az adatvédelem irányításához

A kifejezetten az adatvédelemmel kapcsolatos információbiztonsági szabvány ISO 27701 az ISO 27001, az ISO 27002 (információbiztonsági ellenőrzések) és az ISO 29100 (adatvédelmi keretrendszer) szabványokon alapuló adatvédelmi irányítási rendszert határoz meg a személyes adatok feldolgozásának és az információbiztonságnak a megfelelő kezelésére. Ez mind az adatkezelőkre, mind a személyes adatok feldolgozóira vonatkozik.

Hogyan lehet sikeres ezzel a szabvánnyal:

• A személyes adatok jobb kezelése és az információbiztonság
• A közös információs kockázatkezelési elvek egyszerűbb alkalmazása a személyes adatokra
• Az ISO 27001, valamint a kapcsolódó ISO 27002 szabványon belüli ellenőrzések összehangolása és kiterjesztése.

ISO 27017 - Útmutató a felhőszolgáltatások információbiztonsági intézkedéseihez

Az ISO 27017 szabvány az információbiztonságra vonatkozó szabványokon belül útmutatást nyújt a felhőalapú számítástechnika információbiztonsági intézkedéseiről.

Ajánlásokat tesz, támogatja és további intézkedéseket biztosít a felhő-specifikus információbiztonsági ellenőrzések végrehajtásához.

Mit érhet el ezzel a szabvánnyal:

• A felhőalapú számítástechnika információbiztonsági vonatkozásainak megértése.
• Felhő-specifikus információbiztonsági ellenőrzések tervezése és végrehajtása
• A felhőalapú számítástechnika információbiztonságának kiválasztására, végrehajtására és kezelésére vonatkozó lehetőségek ellenőrzése.

ISO 27018 - Útmutató a felhőszolgáltatások adatvédelméről.

Az ISO 27018 szabvány útmutatást nyújt annak biztosítására, hogy a felhőszolgáltatók megfelelő információbiztonsági ellenőrzéseket kínáljanak ügyfeleik ügyfeleinek magánéletének védelme érdekében, a rájuk bízott személyes adatok védelmével.

Ezt a szabványt követi az ISO 27017 (Információbiztonsági intézkedések a felhőszolgáltatásokban), amely a felhőalapú számítástechnika adatvédelmen kívüli egyéb információbiztonsági szempontjaira is kiterjed.

Íme, mit tehet a szabvány alapján:

• Válassza ki a PII-védelmi ellenőrzéseket az ISO 27001 szabványon alapuló felhőalapú számítástechnikai információbiztonsági irányítási rendszer bevezetésének részeként.
• Vezessen be általánosan elfogadott PII-védelmi ellenőrzéseket.
• Elmélyítheti ismereteit, mivel a szabvány az ISO 27002 szabványon alapul, és néhány területen kibővíti annak általános tanácsait.
• Az OECD adatvédelmi elveinek összekapcsolása számos adatvédelmi törvényben és rendeletben foglaltakkal.

ISO 27005 - Útmutató az információbiztonsági kockázatkezeléshez.

Az ISO 27005 szabvány útmutatást nyújt az információbiztonsági kockázatkezelésről, és támogatja az ISO 27001-ben meghatározott általános koncepciókat.

Az ISO 27005 szabvány célja továbbá, hogy támogassa az információbiztonság kockázatkezelési koncepción alapuló megvalósítását.

Ezt a szabvány segítségével teheti meg:

• Kockázatkezelési koncepción alapuló információbiztonság megvalósítása.
• A kockázatkezelési kontextus meghatározása
• A releváns információs kockázatok mennyiségi vagy minőségi értékelése (azaz azonosítása, elemzése és értékelése).
• A kockázatok, kockázatkezelések, követelmények és kritériumok folyamatos nyomon követése és felülvizsgálata
• A kockázatok megfelelő kezelése
• Folyamatos kommunikáció valamennyi érdekelt féllel

ISO 27007 - Útmutató az ISMS auditálásához

Az ISO 27007 útmutató az auditok elvégzéséhez, és az ISO/IEC 27001 szerinti ISMS-t értékelő belső és külső auditorok számára készült.

Az útmutató nagymértékben az Irányítási rendszerek auditálására vonatkozó útmutatóra (ISO 19011) épül, és további útmutatást nyújt az információbiztonsági irányítási rendszer (ISMS) számára.

Íme, hogyan lehet sikeres a szabvány alkalmazása:

• Útmutató kifejezetten az ISO 27001 ISMS auditálásához
• Az ISO 19011 szabványból integrált útmutatás az auditok tervezéséhez és lebonyolításához.
• Fontos információk az ISMS auditorok kompetenciáiról
• Az ISMS-auditok megértése és végrehajtása

DQS - mit tehetünk Önért

A DQS 1985 óta az irányítási rendszerek és folyamatok tanúsításának vezető szakértője. Azóta a DQS története szorosan összefonódott az ISO 9001 történetével Évente mintegy 30 000 auditnapon juttatjuk el ügyfeleinkhez világméretű know-how-nkat és a szabványok széleskörű ismeretét. Így láthatja, milyen lehetőségei vannak.

Bizalom és szakértelem

Szövegeinket és fehér könyveinket kizárólag szabványszakértőink vagy régóta dolgozó auditoraink írják. Így az információbiztonsági szabványok áttekintése is. Ha bármilyen kérdése van a szöveg tartalmával vagy a szerzőnknek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, forduljon hozzánk bizalommal.

Információbiztonsági szabványok: ISO 2700X szabványcsalád egyéb témái

ISO 27003 - Útmutató az ISMS kialakításához és végrehajtásához

ISO/IEC 27003:2017

Informatika - Biztonsági technikák - Információbiztonsági irányítási rendszerek - Útmutató.

ISO 27004 - Útmutató az információbiztonság-irányítás mérési módszereiről.

ISO/IEC 27004:2016

Informatika - Biztonsági technikák - Információbiztonság-irányítás - Monitoring, mérés, elemzés és értékelés.

ISO 27008 - Útmutató az információbiztonsági intézkedések értékeléséhez.

ISO/IEC TS 27008:2019

Informatika. Biztonsági technikák. Útmutató az információbiztonsági ellenőrzések értékeléséhez.

ISO 27009 - Útmutató az információkezelési rendszer ágazatspecifikus alkalmazásához

ISO/IEC 27009:2020

Információbiztonság, kiberbiztonság és a magánélet védelme. Az ISO/IEC 27001 ágazatspecifikus alkalmazása.

ISO 27010 - Útmutató az ágazatközi és szervezetközi kommunikáció információbiztonságának irányításához

ISO/IEC 27010:2015

Informatika. Biztonsági technikák. Információbiztonság-irányítás az ágazatközi és szervezetközi kommunikációhoz.

ISO 27011 - Útmutató a távközlési ágazat információbiztonsági irányításához

ISO/IEC 27011:2016

Informatika. Biztonsági technikák. Az ISO/IEC 27002 szabványon alapuló információbiztonsági ellenőrzések gyakorlati kódexe a távközlési szervezetek számára.

ISO 27013 - Útmutató az ISMS és az IT-szolgáltatásmenedzsment integrált megvalósításához

ISO/IEC 27013:2021

Információbiztonság, kiberbiztonság és a magánélet védelme. Útmutató az ISO/IEC 27001 és az ISO/IEC 20000-1 integrált bevezetéséhez.

ISO 27014 - Az információbiztonság irányítása

ISO/IEC 27014:2020

Információbiztonság, kiberbiztonság és adatvédelem. Az információbiztonság irányítása.

ISO 27016 - Az információbiztonság irányításának gazdaságossága

ISO/IEC TR 27016:2014

Informatika - Biztonsági technikák - Információbiztonsági irányítás - Szervezeti gazdaságtan.

ISO 27021 - Az ISMS szakemberek kompetenciájára vonatkozó követelmények

ISO/IEC 27021:2017/AMD 1:2021

echnika. Az információbiztonság-irányítási rendszerek szakembereinek alkalmassági követelményei. 1. módosítás: Az ISO/IEC 27001:2013 záradékok vagy alpontok hozzáadása a alkalmassági követelményekhez.

ISO 27031 - Útmutató az üzletmenet-folytonossághoz

ISO/IEC 27031:2011

Informatika - Biztonsági technikák - Irányelvek az információs és kommunikációs technológia üzletmenet-folytonossági felkészültségéhez

TIPP: Olvassa el az üzletmenet-folytonossági menedzsmentről szóló blogbejegyzésünket, hogy megtudja, mit javasol az ISO 22301 szabvány a vállalat fennmaradásának biztosítására rendkívüli helyzetekben.

ISO 27032 - Kiberbiztonsági útmutató

ISO/IEC 27032:2012

Informatika - Biztonsági technikák - A kiberbiztonságra vonatkozó iránymutatások.

ISO 27033 - Útmutató a hálózatbiztonsághoz

ISO/IEC 27033

Informatika. Biztonsági technikák. Hálózatbiztonság
1. rész: Áttekintés és fogalmak, 2. rész: Irányelvek a hálózatbiztonság tervezéséhez és megvalósításához, 3. rész: Referenciahálózati forgatókönyvek -Veszélyek, tervezési technikák és ellenőrzési kérdések, 4. rész: A hálózatok közötti kommunikáció biztosítása biztonsági átjárók használatával, 5. rész: A hálózatok közötti kommunikáció biztosítása virtuális magánhálózatok (VPN) használatával, 6. rész: A vezeték nélküli IP-hálózati hozzáférés biztosítása.

ISO 27034 - Útmutató az alkalmazásbiztonsághoz

ISO/IEC 27034

Informatika - Biztonsági technikák - Alkalmazásbiztonság
1. rész: Áttekintés és fogalmak, 2. rész: Szervezeti normatív keretrendszer, 3. rész: Alkalmazásbiztonsági irányítási folyamat, 4. rész: Validálás és ellenőrzés, 5. rész: Protokollok és alkalmazásbiztonsági ellenőrzések adatszerkezete, 6. rész: Kísérleti tanulmányok, 7. rész: Bizonyossági előrejelzési keretrendszer.

ISO 27035 - Útmutató az információbiztonsági incidensek kezeléséhez

ISO/IEC 27035

Informatika - Informatikai biztonsági gyakorlatok - Információbiztonsági incidensek kezelése
1. rész: Az incidenskezelés alapjai, 2. rész: Irányelvek az incidensek kezelésének tervezéséhez és előkészítéséhez, 3. rész: Irányelvek az információs és kommunikációs technológiai incidensek kezeléséhez (tervezet).

ISO 27036 - Útmutató a beszállítói kapcsolatokhoz

ISO/IEC 27036

Informatika - Biztonsági technikák - Információbiztonság a beszállítói kapcsolatokban
1. rész: Rész: Áttekintés és fogalmak, 2. rész: Követelmények, 3. rész: Irányelvek az információs és kommunikációs technológiai ellátási lánc biztonságához, 4. rész: Irányelvek a felhőszolgáltatások biztonságához.

ISO 27037 - Irányelvek a digitális bizonyítékok kezelésére.

ISO/IEC 27037:2012

Informatika. Biztonsági technikák. Irányelvek a digitális bizonyítékok azonosításához, gyűjtéséhez, megszerzéséhez és megőrzéséhez.

ISO 27038 - A digitális szerkesztés előírásai

ISO/IEC 27038:2014

Informatika. Biztonsági technikák. A digitális szerkesztés előírása.

ISO 27039 - Iránymutatás a behatolásérzékelő rendszerekről (IDPS)

ISO/IEC 27039:2015

Informatika. Biztonsági technikák. Behatolásérzékelő és -megelőző rendszerek (IDPS) kiválasztása, telepítése és üzemeltetése.

ISO 27040 - Iránymutatás a tárolás biztonságáról

ISO/IEC 27040:2015

Informatika - Biztonsági technikák - Tárolásbiztonság

ISO 27041 - Útmutató az incidensek kivizsgálási módszereiről

ISO/IEC 27041:2015

Informatika - Biztonsági technikák - Útmutató az incidensek kivizsgálási módszereinek alkalmasságának és megfelelőségének biztosításához

ISO 27042 - Útmutató a digitális bizonyítékok elemzéséhez és értelmezéséhez.

ISO/IEC 27042:2015

Informatika. Biztonsági technikák. Útmutató a digitális bizonyítékok elemzéséhez és értelmezéséhez.

ISO 27043 - Útmutató az incidensek kivizsgálási eljárásaihoz.

ISO/IEC 27043:2015

Informatika. Biztonsági technikák. Incidensek kivizsgálásának alapelvei és folyamatai.

ISO 27050 - Útmutató az elektronikus felderítéshez

ISO/IEC 27050

Informatika. Elektronikus felderítés
1. rész: Rész: Áttekintés és fogalmak, 2. rész: Útmutató az elektronikus felderítés irányításához és menedzseléséhez, 3. rész: Az elektronikus felderítés gyakorlati kódexe.

ISO 27102 - Iránymutatás a kiberbiztosításról

ISO/IEC 27102:2019

Információbiztonság-menedzsment. Iránymutatás a kiberbiztosításhoz.

ISO 27103 - Útmutató a kiberbiztonsághoz és az ISO/IEC szabványokhoz

ISO/IEC TR 27103:2018

Informatika. Biztonsági technikák. Kiberbiztonság és ISO- és IEC-szabványok.

ISO 27550 - Adatvédelmi tervezés a rendszer életciklusfolyamataihoz

ISO/IEC TR 27550:2019-09

Informatika. Biztonsági technikák. Adatvédelmi tervezés a rendszer életciklus-folyamataihoz.

ISO 27799 - Információbiztonság-menedzsment az egészségügyben

ISO 27799:2016

Egészségügyi informatika. Információbiztonság-menedzsment az egészségügyben az ISO/IEC 27002 alkalmazásával.