Standartas ISO/IEC 27001:2017

 Informacijos saugos vadybos sistemos sertifikavimas pagal ISO/IEC 27001:2017 standartą

Augančiai ISO/IEC 27000 standartų šeimai priklausantis ISO/IEC 27001 yra informacijos saugumo valdymo sistemų standartas, kurį 2017 m. išleido Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos komisija (IEC). Visas standarto pavadinimas yra ISO/IEC 27001:2017 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.

ISO Standartas/IEC 27001 oficialiai apibrėžia valdymo sistemą, kurios paskirtis – užtikrinti informacijos saugumą aiškiomis valdymo priemonėmis. Specifikacijos oficialumas reiškia, jog standarte numatyti konkretūs saugumo valdymo sistemos reikalavimai. Visos organizacijos, kurios teigia įgyvendinusios ISO/IEC 27001 standartą, gali būti oficialiai audituojamos ir gali būti tikrinama jų atitiktis standartui (išsamiau skaitykite toliau).

Standarto veikimo principas

Dauguma organizacijų taiko informacijos saugumo kontrolės priemones, tačiau be informacijos saugumo valdymo sistemos (ISVS) šios kontrolės priemonės būna nesusistemintos ir nesusietos, dažnai įgyvendinamos kaip atsakas konkrečiai situacijai ar tiesiog kaip formalumas. Saugumo kontrolės priemonės paprastai būna susijusios su konkrečiais IT ar duomenų saugumo aspektais, o informacija neelektroninėse laikmenose (pavyzdžiui, popieriniai dokumentai, patentuotos žinios) paprastai lieka mažiau apsaugota. Būna ir taip, jog veiklos tęstinumas planuojamas ir fizinė apsauga įgyvendinama nepriklausomai nuo IT ar informacijos saugumo sistemos, o žmogiškųjų išteklių skyrius neapibrėžia informacijos saugumo vaidmenų bei atsakomybės sričių ir niekam jų nepriskiria visoje organizacijoje.

ISO/IEC 27001 reikalauja, kad vadovybė:

• sistemingai tikrintų organizacijos informacijos saugumo riziką, įvertintų grėsmes, pažeidžiamas vietas ir poveikį;
• suprojektuotų ir įgyvendintų nuoseklias ir išsamias saugumo kontrolės priemones ir (arba) kitus rizikos valdymo metodus (pavyzdžiui, rizikos vengimo ar rizikos perdavimo) rizikai, kuri laikoma nepriimtina, valdyti;
• taikytų visa apimantį valdymo procesą siekdama užtikrinti, kad informacijos saugumo kontrolės priemonės nenutrūkstamai tenkintų organizacijos informacijos saugumo poreikius.

Ir nors kitas informacijos saugumo kontrolės priemones galima naudoti kartu su ISO/IEC 27001 ISVS arba netgi vietoj ISO/IEC 27002 (Informacijos saugumo valdymo praktikos kodeksas), šie du standartai praktikoje paprastai taikomi kartu. ISO/IEC 27001 A priede išvardijamos ISO/IEC 27002 informacijos saugumo priemonės, o ISO/IEC 27002 pateikiama papildoma informacija ir kontrolės priemonių įgyvendinimo rekomendacijos.

Tikėtina, kad organizacijos, kurios įgyvendina informacijos saugumo kontrolės priemones pagal ISO/IEC 27002, savo ruožtu tenkina ir daugelį ISO/IEC 27001 reikalavimų, tačiau joms gali trūkti kai kurių pagrindinių vadybos sistemos elementų. Galima ir atvirkštinė situacija, kitaip tariant, atitikties ISO/IEC 27001 standartui sertifikatas suteikia užtikrinimą, kad informacijos saugumo valdymo sistema yra, tačiau jis nesuteikia duomenų apie informacijos saugumo absoliučią būklę organizacijoje. Atliekant sertifikavimo pagal ISO/IEC 27001 auditą, paprastai tokios techninės saugumo kontrolės priemonės kaip antivirusinės programos ar ugniasienės nėra tikrinamos. Daroma prielaida, kad organizacija yra įdiegusi visas būtinas informacijos saugumo kontrolės priemones, nes ji turi ISVS, kuri laikoma tinkama patenkinus ISO/IEC 27001 reikalavimus. Be to, vadovybė nustato ISVS taikymo sritį sertifikavimo reikmėms ir gali jos taikymą apriboti, pavyzdžiui, nustatyti taikymą viename kuriame nors verslo segmente ar vienoje kurioje nors veiklos vykdymo vietoje. ISO/IEC 27001 sertifikatas nebūtinai reiškia, kad visuose kituose organizacijos padaliniuose, kurie nepatenka į ISVS taikymo sritį, informacijos saugumas valdomas tinkamai.

Kituose ISO/IEC 27000 serijos standartuose pateikiamos papildomos gairės dėl tam tikrų ISVS projektavimo, įgyvendinimo ir taikymo aspektų, pavyzdžiui, informacijos saugumo rizikos valdymo (ISO/IEC 27005).