Добрите практики заложени в Британският стандарт BS 7799-2:2002, са приети като ISO 27001:2005. Стандартът изисква разработването на политика по информационна сигурност, която да демонстрира ангажимента на организацията за опазването на сигурността на информацията.
Практиките, заложени в ISO 17799 Information Security management systems -ISMS, и ISO 27001 изградени съобразно изискванията на тези два стандарта обхващат основните аспекти на сигурността: оценка и управление на риска, управление на персонала, физическа сигурност; контрол на достъпа, сигурност при избора, закупуването и ползването на софтуер и хардуер, планове и действия в извънредни ситуации и кризи.
Целта е да се гарантира конфиденциалността и интегритета на информационните активи, чрез управление на достъпа до тях, с оптимален ресурс за опазването им.
Необходимостта от създаване на Система за управление на информационната сигурност произтича от:
- наличието на нормативни документи, насочени към сигурността на информацията, като ЗЗКИ, ППЗЗКИ, ЗЗЛД , Наредбата за информационна сигурност и др.
- нарасналите изисквания по отношение защита на личните данни;
- изострената конкурентна среда, технологичните и иновационни решения и тяхната защита, гарантираща запазването на съответните пазарни позиции.Системата за управление на информационната сигурност обхваща основните направления в управлението на всяка организация.
В основата на изграждане са анализа на активите и анализа на риска.
На базата на тези анализи се формира Политика по сигурността. Определят се уязвимите места, потенциалните заплахи и очакваните последствия при пробиви. Подбират се съответните защити, съобразно вида на заплахата, на която противодействат. Изготвя се конкретна Декларация за приложимост, с която организацията заявява какъв вид защити е одобрила и какво е приемливото ниво на риска който не управлява.
Начало За контакти Връзки
|