İSO 27001

ISO 27001 nədir?

 ISO/IEC 27001: 2013 (ISO 27001 olaraq da tanınır) informasiya təhlükəsizliyi üçün beynəlxalq standartdır və İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin (İTİS) spesifikasiyasını müəyyən edir.

İnformasiya təhlükəsizliyi idarəetmə sistemi standartın ən yaxşı təcrübə yanaşmasına, təşkilatlara insanlara, proseslərə və texnologiyaya müraciət edərək informasiya təhlükəsizliyini idarə etməyə kömək edir.

ISO 27001 Standartına sertifikatlaşdırma bütün dünyada tanınır və sizin İTİS-inizin informasiya təhlükəsizliyi sahəsində ən yaxşı təcrübəyə uyğun olduğuna dair bir göstərici olaraq çıxış edir.

ISO 27000 seriyası məlumat təhlükəsizliyi standartlarının bir hissəsi olan ISO 27001, təşkilatlara “İTİS qurmağa, tətbiq etməyə, idarə etməyə, izləməyə, nəzərdən keçirməyə, saxlamağa və daim təkmilləşdirməyə” kömək edən bir iş çərçivəsidir.

ISO 27001 informasiya təhlükəsizliyi standartının son versiyası 2005-ci il iterasiyasının əvəzinə 2013-cü ilin sentyabrında nəşr edilmişdir.

İTİS nədir?

İTİS, korporativ məlumat aktivlərinin məxfiliyini, bütövlüyünü və mövcudluğunu (CIA – confidentiality, Integrity, Availability) təmin etmək üçün vahid bir yanaşmadır.

İTİS, insanları, prosesləri və texnologiyanı əhatə edən siyasətlərdən, prosedurlardan və digər nəzarətlərdən ibarətdir.

Müntəzəm informasiya təhlükəsizliyi risk qiymətləndirmələri ilə məlumatlandırılan bir İTİS, məlumat aktivlərinizin təhlükəsizliyini qorumaq üçün səmərəli, riskə əsaslanan və texnologiyaya neytral bir yanaşmadır.

ISO 27001 bəndləri və nəzarətləri

Standartın on idarəetmə sistemi maddəsi var. Onlar 114 informasiya təhlükəsizliyi nəzarətindən ibarət Əlavə A ilə birlikdə İTİS-in tətbiqini və saxlanmasını dəstəkləyirlər:

  1. Əhatə dairəsi
  2. Normativ istinadlar
  3. Terminlər və təriflər
  4. Kontekst
  5. Liderlik
  6. Planlaşdırma və risklərin idarə edilməsi
  7. Dəstək
  8. Əməliyyatlar
  9. Göstəricilərin qiymətləndirilməsi
  10. Təkmilləşdirmə

ISO 27001-in üstünlükləri

ISO 27001, mövcud olan ən məşhur informasiya təhlükəsizliyi standartlarından biridir. Standartın müstəqil akkreditə olunmuş sertifikatı bütün dünyada tanınır. Son on ildə sertifikatların sayı 450% -dən çox artmışdır.

Standartın tətbiqi, Avropa Birliyi GDPR (Ümumi Məlumat Qoruma Tənzimləməsi)NIS (Şəbəkə və İnformasiya Sistemləri Təhlükəsizliyi) Qaydaları kimi informasiya təhlükəsizliyi tələblərinə cavab verməyinizə kömək edir. Bu, məlumatların pozulması ilə əlaqəli xərcləri azaltmağa kömək edir.

ISO/IEC 27001: 2013 nəzarətləri

Standart 114 Əlavə A nəzarətinin hamısının həyata keçirilməsini tələb etmir. Risk qiymətləndirilməsi hansı nəzarət tədbirlərinin tələb olunduğunu və digər nəzarətlərin İTİS -dən niyə kənarlaşdırıldığını əsaslandırmalıdır.

Aşağıda nəzarət dəstlərinin siyahısı verilmişdir.

  • A.5 İnformasiya təhlükəsizliyi siyasəti
  • A.6 İnformasiya təhlükəsizliyinin təşkili
  • A.7 İnsan resurslarının təhlükəsizliyi
  • A.8 Aktivlərin idarə edilməsi
  • A.9 Giriş nəzarəti
  • A.10 Kriptoqrafiya
  • A.11 Fiziki və ekoloji təhlükəsizlik
  • A.12 Əməliyyat təhlükəsizliyi
  • A.13 Rabitə təhlükəsizliyi
  • A.14 Sistemin qəbul edilməsi, inkişafı və saxlanılması
  • A.15 Təchizatçı münasibətləri
  • A.16 İnformasiya təhlükəsizliyi hadisələrinin idarə edilməsi
  • A.17 İşin davamlılığının idarə edilməsinin informasiya təhlükəsizliyi aspektləri
  • A.18 Uyğunluq

 

ISO 27001 tələblərinə uyğunluğa necə nail olmaq olar

İTİS-in tətbiqinə aşağıdakılar daxildir:

  • Layihənin əhatə dairəsi.
  • İdarəetmə öhdəliyinin və büdcənin təmin edilməsi.
  • Maraqlı tərəflərin və hüquqi, tənzimləyici və müqavilə tələblərinin müəyyən edilməsi.
  • Risk qiymətləndirməsinin aparılması.
  • Lazımi nəzarət vasitələrinin nəzərdən keçirilməsi və tətbiqi.
  • Layihəni idarə etmək üçün daxili bacarıqların inkişafı.
  • Müvafiq sənədlərin hazırlanması.
  • İşçilərin məlumatlandırılması üzrə təlimlərin keçirilməsi.
  • Hesabat (məsələn, Uyğunluq Bəyannaməsi və risklərlə rəftar planı).
  • İTİS-in davamlı olaraq ölçülməsi, izlənməsi, nəzərdən keçirilməsi və yoxlanması.
  • Lazımi korrektiv və profilaktik tədbirlərin həyata keçirilməsi.