ISO/IEC 17799:2005 – Codul de practica pentru Managementul Securitatii Informatiei si ISO/IEC 27001:2005 (ex BS 7799-2:2002) – Specificatii ale Managementului pentru Securitatea Informatiei Informatia este sangele fiecarei organizatii si poate exista sub mai multe forme. Aceasta poate fi printata sau scrisa pe hartie, stocata electronic, transmisa prin e-mail, aratata in filme sau spusa in conversatii. In mediul de afaceri competitiv prezent, informatia este “amenintata” constant de diferite surse. Acestea pot fi interne, externe, accidentale sau rau-voitoare. Cu tendintele crescande ale noilor tehnologii de stocare a informatiei si de gasire a acesteia, cresc si riscurile care afecteaza siguranta informatiei. De aceeea, exista o nevoie generala a unei Politici de Securitate a Informatiei pentru toate organizatiile. Exista nevoia de confidentialitate, integritate si disponibilitate atat pentru organizatii cat si pentru informarea clientilor. Standardul pentru Securitatea Informatiei (ISMS) BS 7799 (predecesorul ISO/IEC 27001:2005) a devenit rapid unul dintre cele mai cerute si vandute standarde. Ce este un Sistem de Management pentru Securitatea Informatiei ISO 27001:2005? Un Sistem de Management al Securitatii Informatie (ISMS), ISO/IEC 27001:2005, reprezinta o abordare sistematica a managementului informatiei astfel incat aceasta sa fie in siguranta. Acest lucru implica angajatii, procesele si sistemele IT. BSI a publicat un cod de practica pentru aceste sisteme, acum adoptat international sub forma ISO/IEC 27001:2005. De unde se incepe? 1. Dezvoltati o politica pentru securitatea informatiei si identificati informatiile cheie ale organizatiei dvs. Procurati standardul ISO/IEC 17799:2005 si ISO/IEC 27001:2005 care va va ajuta sa faceti acest lucru; 2. Construiti-va ISMS-ul; instruirea personalului cheie va ajuta in garantarea unei implementari de succes. Alegeti-va cu atentie societatea de consultanta, pentru ca acest lucru isi va pune amprenta in faza finala, la certificare. 3. Odata ce sistemul de management este implementat in totalitate, puteti sa cereti auditarea unui organism de certificare ISO 27001, pentru ca apoi sa primiti acreditarea. Ce sunt ISO 17799:2005 si ISO 27001:2005? ISO/IEC 17799 – Codul de Practica pentru Managementul Securitatii Informatiei, stabileste liniile si principiile generale pentru organizatii pentru a initia, implementa, mentine si imbunatatii managementul securitatii informatiei. ISO/IEC 17799 contine cele mai bune practici de control in urmatoarele domenii ale managementului securitatii informatiei: – politica de securitate; – organizarea securitatii informatiei; – management; – securitatea fizica si a mediului inconjurator; – managementul comunicatiilor si al operatiilor; – controlul accesului; – achizitionarea sistemelor informationale, dezvoltarea si mentenanta lor; – managementul afacerii continue ISO/IEC 27001:2005 (fostul BS 7799-2:2002) este un standard care stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia. Este potrivit pentru cateva tipuri diferite de folosinta organizationala incluzand urmatoarele: – formularea cerintelor de securitate si a obiectivelor; – asigurarea ca riscurile de securitate sunt “stapanite” din punct de vedere al costului; – asigurarea unei conformitati cu legislatia si diverse reglementari; – identificarea si clarificarea proceselor existente de management al securitatii informatiei; – folosinta lui de catre management pentru a determina statusul activitatilor de management al securitatii informatiei; – folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu politicile, directivele si standardele adoptate de catre organizatie; – furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si proceduri, catre partenerii comerciali; – furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii. |