pizzy W obecnych czas...
MadesonShaffer1969
Apr 17, 2012 1:06:30 AM
Obecnie wiedza jest dobrem niezwykle ważnym, więc powinna być odpowiednio strzeżona.
Standard ISO/IEC 27001:2005 stanowi bazę certyfikacji Systemów Zarządzania Bezpieczeństwem Informacji.
Certyfikat ISO 27001 bazuje na procedurze procesowym, używa algorytmu planuj – wykonuj – sprawdzaj – działaj (PDCA - cykl Deminga), który jest stosowany dla całej systemu procesów SZBI, a także w dalszych certyfikatach z typu ISO.
ISO 27001 składa się z części głównej i załączników. Część zasadnicza standardu określa wymagania dotyczące:
- Wyznaczeniem oraz zarządzaniem systemem bezpieczeństwa informacji (SZBI)
- Wymaganą dokumentacją,
- Zaangażowaniem dyrekcji,
- Wewnętrznymi audytami SZBI, przeglądami SZBI
- Trwałym optymalizacją SZBI.
Wszystkie te wymagania muszą być zaspokojone.
Bazą operowania systemu jest sprecyzowanie procedury oraz wykonanie analizy niebezpieczeństwa. Norma wymaga zanalizowania i włączenia do SZBI kolejnych 11 sfer operowania organizacji:
- Polityki bezpieczeństwa
- Zorganizowania bezpieczeństwa danych
- Zarządzania aktywami
- Zabezpieczenia zasobów ludzkich
- Zabezpieczenia fizycznego i środowiskowego
- Administrowania systemami i sieciami
- Kontroli dostępu
- Pozyskiwania, rozwoju oraz utrzymania systemów informatycznych
- Zarządzania incydentami związanymi z zabezpieczeniem danych
- Zarządzania ciągłością działania
- Kompatybilność z wymaganiami prawnymi.
W konsekwencji tej analizy przedsiębiorstwo formułuje wartość indywidualnych aktywów oraz dobiera odpowiedni poziom bezpieczeństwa. W ten sposób optymalnie wykorzystuje posiadane zasoby.
Początkowymi a zarazem decydującymi pizzy krokami w kierunku ustalenia SZBI są:
- Zdefiniowanie rozciągłości certyfikacji ISMS
- Rozpoznanie zagrożeń
- Analiza ryzyka
- Procedura administracji ryzykiem
- Stworzenie oświadczenia stosowania (SOA – Statement of Applicability)
- Ustanowienie schematów oraz wytycznych ISMS.
Następnym fazą jest nadzorowanie / kontrola systemu, poprzez:
- Cykliczne audyty / inspekcje
- Automatyczne detekcję błędów
- Sięganie z doświadczeń pozostałych
- Wewnętrzny audit ISMS
- Kontrola zarządzania
- Audyt zewnętrzny (zrealizowany przez jednostkę wydającą certyfikaty).
Jako rezultat ww działań firma uzyskuje dane o nieprawidłowościach i innych wadach funkcjonującego systemu. W związku z powyższym wdraża poczynania, które naprawią zaistniałe uchybienia oraz umożliwią na uniknięcie ich w na przyszłość. Do operacji tych kwalifikują się:
- Starania naprawcze
- Starania zapobiegawcze
- Ciągłe ulepszanie.
Posiadanie certyfikowanego systemu administrowania bezpieczeństwem informacji zgodnego z normą ISO 27001:2005 wiąże się nie tylko z prestiżem i wyróżnieniem firmy wśród innych na rynku, lecz również z różnymi mierzalnymi profitami, takimi jak:
- Zabezpieczenie danych
- Zdobycie ufności kontrahentów oraz pozostałych klientów
- Podniesienie niezawodności
- Ochrona miejsc zatrudnienia
- Większa przejrzystość procesów, spowodowana faktem implementacji do organizacji ustalonych procedur
- Obniżenie do minimum konsekwencji możliwego naruszenia bezpieczeństwa danych
- Zapewnienie ciągłości działania przedsiębiorstwa w sytuacjach kryzysowych
- Bezpieczeństwo prawne, wynikające z faktu stosowania się do formalnych wymogów.