• публикации
    18
  • коментари
    5
  • прегледи
    23832

“Технически” стандарт ли е ISO 27001?

“Технически” стандарт ли е ISO 27001?

от Слав Петров

Забелязал съм в своята практика, че огромното мнозинство от клиентите, пристъпващи към осъществяване на проект по разработка и внедряване на система за управление на сигурността на информацията, са убедени че това е чисто технически ИТ проект. Много хора, които не са участвали в такова внедряване, но са чували за стандарта ISO 27001 също, са убедени, че това е чисто технически стандарт. Така казват и много специалисти по ИТ и комуникации, които са чували за стандарта, но никога не са го чели. Освен всичко друго въпросният стандарт е класифициран в групата стандарти ISO Information technology. Да добавим и че голямата част от механизмите за контрол на сигурността на информацията в информационната система на организацията са технически – хардуерни и софтуерни. Всички тези средства се управляват от сериозно подготвени ИТ специалисти.

А всичко това какво означава? Означава, че стандартът е технически.

Да, но не, не е така. ISO 27001 не е технически, а преди всичко организационен стандарт, каквито са ISO 9001, ISO 14001, OHSAS 18001.

Термините “информация” и “сигурност на информацията” не бива да ни подвеждат. Информацията може да съществува в най-различни форми: написана на хартия, в електронна форма, записана на микрофилм, споделена в разговор. И във всяка форма на съществуване системата за управление на сигурността на информацията (СУСИ) трябва да осигури нейната сигурност (конфиденциалност, цялостност, наличност). Колкото и странно да звучи например, напълно възможно е да се внедри, сертифицира и управлява СУСИ на организация без нито един компютър.

==========================================

www.mscservices.eu - Вашите ISO консултанти

==========================================

Основни задачи за решаване при внедряване на СУСИ се явяват определянето на обхвата, политиката по сигурността на информацията и оценката на риска. Всикчи те са преди всичко стратегически и организационни задачи.

А какво ще кажете за задължителните процедури на системата? Процедурите за управ;ение на документите, за вътрешните одити, за коригиращи и превантивни действия са практически иденточни на тези по ISO 9001 с малки допълнения.

А измерването на ефективността? Техническото оборудване и софтуер се явяват само средство за достигане на определените цели, нищо повече.

Знаете ли от къдеидват най-големите потенциални заплахи за сигурността на информацията? Не, хакерите не са най-опасните за вашата система. Персоналът – най-големите потенциални заплахи за сигурността на информацията идват от вашите служители – поради некомпетентни или злонамарени действия.

А какво да кажем за такива важни въпроси като например осигуряването на ресурси за работа на системата и преглед от ръководството? Те технически мероприятия ли са или организационни?

Да, разбира се, за осигуряване на сигурността на информацията в системата, в обхвата на която се намира голяма и сложна информационна система, обработваща и съхраняваща чувствителна информация, от жизнена важност е наличието на квалифицирани ИТ специалисти. Но във всеки случай стандартът ISO 27001 изисква преди всичко усилия в разработка и реализация на организационни мерки, та били те и в областта на ИТ.

В подкрепа на това твърдение ще ви разкажа за един случай на неуспешно вбедряване на СУСИ. Голяма компютърна фирма, започваща проект по внедряване на СУСИ, нае за консултант по внедряването водещ специалист в областта на ITIL.. Проектът продължи няколко месеца като компанията инвестира немалко средства в съвременни ИТ технологии за проекта, а също и немалко средства за заплащане труда на консултанта. По време на сертификационния одит водещият одитор повдигна 25 несъответствия – 4 съществени и 21 несъществени. И познайте какви коригиращи действия бяха изпълнени след още няколко месеца от страна на компанията – организационни мерки.

Надявам се повдигнатите в статията въпроси да предизвикат различни коментари мнения по тази тема.

www.mscservices.eu




0 Коментара


Все още няма коментари.

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!


Нова регистрация

Вход

Имате регистрация? Влезте от тук.


Вход