ISO 27000 standartu sērija ir labākās prakses apkopojums par to, kā organizācijas var pārvaldīt informācijas drošību, izveidojot, uzturot un novērtējot informācijas drošības pārvaldības sistēmu (ISMS).
Šī starptautiskā sistēma tiek cienīta tās stingrības un piemērojamības dēļ visās nozarēs, un tā ir vērtīga jebkurai organizācijai, kas vēlas uzlabot informācijas drošības riska pārvaldību un nodrošināt atbilstību datu privātuma likumiem, piemēram, GDPR.
27000 sērijas centrālais elements ir ISO 27001, vienīgais standarts, pēc kura ir iespējams saņemt sertifikātu. Pārējie standarti sniedz detalizētākus norādījumus par dažādiem informācijas drošības aspektiem. Daži standarti ir tehniski, daži attiecas uz pārvaldību un organizatoriskā riska pārvaldību, daži ir specifiski nozarei, bet citi ir vērsti uz auditoriem.
27000 sēriju pie mums piedāvā divas globālas standartizācijas institūcijas: Starptautiskā elektrotehnikas komisija (IEC) un Starptautiskā standartizācijas organizācija (ISO)1. Tās locekļi regulāri tiekas ar ekspertiem, lai pārskatītu esošos standartus un pievienotu jaunus. Nesenie papildinājumi ietver ISO 27400, kas attiecas uz IoT, un ISO 27001 paplašinājumu, kas izstrādā jaunu privātuma informācijas pārvaldības sistēmas (PIMS) koncepciju.
(Piezīme: lai gan visu šo standartu pilns nosaukums ir ISO/IEC, turpmāk mēs pārsvarā paliksim pie biežāk lietotā ISO.)
Pārskats par ISO 27000 standartiem
Būtu pārmērīgi laikietilpīgi izlasīt visus šīs saimes standartus, taču ir vērts gūt vispārēju priekšstatu par to saturu, lai jūs varētu koncentrēties uz tiem, kas attiecas uz jums.
ISO 27000 ievada sēriju, definējot galvenos vārdu krājuma terminus un sniedzot pārskatu par citiem standartiem. Tajā sērijas tiek klasificētas šādi:
- Standarti, kas apraksta prasības
- Standarti, kas apraksta vispārīgas vadlīnijas
- Standarti, kas apraksta nozarei specifiskas vadlīnijas
- Īpašas kontroles vadlīnijas
Grafika, kurā attēlots ISO 27000 un sadalīts iepriekš minētajās kategorijās:
Standarti, kas apraksta prasības ISO 27001
Kad cilvēki runā par atbilstību ISO 27000 un sertifikāciju, viņi patiešām domā šo. Mēs jau esam rakstījuši par šo standartu daudz detalizētāk, taču kopumā tas nosaka ISMS prasības. Organizācijas, kas atbilst šīm prasībām, var saņemt sertifikātu.
Šis standarts aptver 14 domēnus, kas skar datu drošību, un 114 vadīklas, kā ISMS pārvaldīt katru. Piemēram, A.8. pielikums attiecas uz līdzekļu pārvaldību, un tā vadīklas ietver līdzekļu inventarizācijas veikšanu, pieņemamas lietošanas politikas dokumentēšanu un visu neatgriezto līdzekļu reģistrēšanu kā drošības incidentu.
ISO 27001 ir trīs pīlāri, un visi citi saimes standarti tos pastiprina:
- Dokumentācija: visām datu drošības politikām ir jābūt skaidri dokumentētām, un šai dokumentācijai ir jābūt pieejamai visām attiecīgajām ieinteresētajām personām.
- Atbildība: ISO 27001 auditori sagaida ISMS iesaistīšanos visos organizācijas līmeņos — vadības līdzdalība, skaidras definīcijas tam, kurš ir atbildīgs par katru organizācijas risku un tā novēršanu, kā arī darbaspēks, kas apzinās un ievēro visus politikas.
- Nepārtraukta novērtēšana un uzlabošana: lai sasniegtu un uzturētu atbilstību ISO 27001, ir jāveic pastāvīgi iekšējie un ārējie auditi, regulāra riska novērtēšana un dokumentācijas atjaunināšana, kā arī darbinieku apmācība.
Lai iegūtu ISO 27001 sertifikātu, ir nepieciešams ievērojams ieguldījums, un tas parasti ir paredzēts uzņēmumiem ar augsta riska datiem un starptautiskiem darījumiem. Tomēr daudzas organizācijas, kas atsakās no formālā audita procesa, joprojām cenšas būt pēc iespējas atbilstošākas, lai izvairītos no datu aizsardzības pārkāpumiem un izpildītu savas juridiskās un līgumsaistības.
ISO 27006
Šis ir viens no nedaudzajiem standartiem, kas paredzēts auditoriem un akreditācijas iestādēm. Tajā ir noteiktas prasības ikvienam, kas vēlas kļūt par auditoru.
ISO 27009
Šis standarts attiecas uz ISO 27001 prasību piemērošanu nozares specifiskos kontekstos. Saskaņā ar 27000 dokumentu “Tajā ir paskaidrots, kā iekļaut prasības papildus ISO/IEC 27001 prasībām, kā precizēt kādu no ISO/IEC 27001 prasībām un kā iekļaut vadības ierīces vai vadības komplektus papildus ISO/IEC 27001:2013. , A pielikums.”
N.B. Šis standarts šobrīd nav akreditēts nacionālajā akreditācijas birojā (LATAK)!