ISO/IEC 27001:2005
15/09/2009 10 Comments
Standardul ISO/IEC 27001:2005 Tehnologia Informatiei – Tehnici de securitate. Cerinte pentru un sistem de management al securitătii informatiei a fost publicat în octombrie 2005. In esenţă acest standard înlocuieşte vechiul standard BS 7799-2, caietul de sarcini pentru un Sistem de Management al Securităţii Informaţiei. BS 7799 în sine a fost mult timp un standard, mai întâi publicată ca un cod de practici. A doua parte a acestui standard a apărut pentru a acoperi o parte a sistemelor de management. Această versiune poate fi certificată. Astăzi sunt peste o mie de certificate eliberate in intrega lume.
ISO/IEC 27001:2005 este versiunea îmbunătăţită a standardului BS 7799-2 şi armonizat cu alte standarde. A fost introdusă o schemă elaborată de către mai multe organisme de certificare pentru trecerea de la certificatele emise în baza standardului BS 7799 la certificatele ISO/IEC 27001.
Obiectivul acestui standard în sine este de a furniza un model pentru stabilirea, de punere în aplicare, de operare, monitorizarea, analizarea, menţinerea şi îmbunătăţirea un Sistem de Management al Securităţii Informaţiei. În ceea ce priveşte adoptarea sa, aceasta ar trebui să fie o decizie strategică. Mai mult ca atât, proiectarea şi punerea în aplicare a unui ISMS într-o organizație este influenţată de nevoile acesteia, obiectivele, cerinţele de securitate, procesul de angajare, de mărimea şi structura organizației.
Standardul îşi defineşte ” abordarea în bază de proces “, ca punerea în aplicare a unui sistem de procese în cadrul unei organizaţii, împreună cu identificarea proceselor şi interacţiunilor acestora, precum şi de gestionarea lor. Acesta adopta ciclul PDCA, Plan-Do-Check-Act ca model structură a proceselor, şi reflectă principiile enunţate în liniile directoare OECG.
Cuprinsul standardului ISO/IEC 27001 :
• Introducere;
• Domeniu de aplicare;
• Referinţe normative;
• Termeni şi definiții;
• Sistem de management al securităţii informaţiei;
• Responsabilitatea managementului;
• Audituri interne ale SMSI;
• Analizele de management pentru SMSI;
• Îmbunătăţirea SMSI;
• Anexa A – obiectivele de control şi de control;
• Anexa B – principiilor OECD şi acest standard internaţional;
• Anexa C – Corespondenţa dintre ISO 9001, ISO 14001 şi acest standard.
Salut ! Interesant articol!as vrea sa stiu mai multe despre standardul asta
Incercati sa formulati niste intrebari la care am sa incerc sa raspund.
Ma scuzati pentru insistenta
De fapt, eu as vrea sa stiu exact continutul acestui standard
Sa inteleg ca aveti nevoie de standardul propriuzis sau inteleg gresit?
Stiu ca este cu licenta
In fiecare tara exista organisme care elaboreaza, preeau de la alte state si le adopta ca nationale… La rindul lor aceste organisme au dreptul sa le comercializeze. Nu am auzit ca standardele sa aiba licenta, de obicei se interzice reproducerea lor dar asta nu inseamna ca acest lucru se respecta 🙂
Pe mine ma interesau regulile de baza stabilite de standard pentru asigurarea securitatii informatiei
Si care ar fi cea mai ieftina cale de a obtine acest standard?
Legal se poate de procurat de la Organismele de standardizare ale altor tari sau se poate comanda la secretariatul ISO. La fel depinde de scopul Dstra, a-ti putea face rost de el si de la consultantii din domeniu.
Oameni – pentru simpla implementare, fara certificare e ok sa procuri 27002! Ghid de implementare a 27001, care la randul sau e doar cerinte,.. care e complicat sa le intelegi fara a citi 27002 sau 17799, sau NIST800USA… va mai trebui oricum 27005 (risc management).. mai pe scurt este o FAMILIE 27000
Iar daca esti organism de audit – e necesar 27006 🙂
asa ca va ganditi ce doriti in final
Ma puteti contacta pe ISO27000Family@gmail.com