Стандарти за информационна сигурност - преглед

СЪДЪРЖАНИЕ

• Стандарти за информационна сигурност - обзорен списък
• Сертифицирането е конкурентно предимство
• Десет стандарта на ISO за информационна сигурност, които трябва да познавате
• Други теми от семейството стандарти ISO 2700x
• DQS - какво можем да направим за вас

Стандарти за информационна сигурност: Семейство стандарти ISO 2700X

Отделните стандарти за информационна сигурност от серията ISO 2700x разглеждат разнообразни теми в областта на информационната сигурност. Например, международният стандарт определя ISO 27001 Система за управление на информационната сигурност (СУИС), ISO 27701 система за управление на защитата на данните, ISO 27017 предоставя насоки за мерките за информационна сигурност за изчисления в облак, а ISO 27005 предоставя насоки за управление на риска в областта на информационната сигурност.

Компаниите от всички отрасли могат да се възползват от систематично структурирания подход на тези стандарти за информационна сигурност. Той дава възможност за защита на поверителните данни от загуба и злоупотреба и помага за надеждно идентифициране и намаляване на (потенциалните) заплахи. Подходът помага да се гарантира наличността на корпоративните ИТ системи, като по този начин допринася за оптимизиране на бизнес процесите, разходите за ИТ и процесите, както и за минимизиране на бизнес рисковете и рисковете, свързани с отговорността.

Сертифицирането е конкурентно предимство

Сертифицирането по ISO 27001, например от DQS, изисква определена подготовка и усилия. Въпреки това компанията предоставя документирано доказателство, че спазва изискванията за информационна сигурност и прилага мерки за защита на чувствителни фирмени данни. Това е очевидно конкурентно предимство.

Десет стандарта ISO за информационна сигурност, които трябва да познавате

Списъкът по-долу предоставя информативен преглед на текущото състояние на серията стандарти ISO 2700x в областта на информационната сигурност. Всички стандарти са достъпни за закупуване от уебсайта на ISO.

ISO 27001 - Изисквания към системите за управление на информационната сигурност

Във времена, когато данните и информацията се търгуват като редки стоки, тяхната защита е от съществено значение. Оптимална основа за ефективно прилагане на цялостна стратегия за сигурност осигурява добре структурирана система за управление на информационната сигурност (СУИС) в съответствие със стандарта ISO 27001. Това е международно признат стандарт за информационна сигурност в частни, публични или нестопански организации, който обхваща не само аспектите на ИТ сигурността.

Системата за управление на сигурността на информацията по ISO 27001 определя изискванията, правилата и методите за осигуряване на сигурността на информацията, която изисква защита в организациите. Стандартът на ISO предоставя модел за установяване, прилагане, наблюдение и подобряване на нивото на защита. Целта е да се идентифицират потенциалните рискове за компанията, да се анализират и да се направят контролируеми чрез подходящи мерки. ISO 27001 формулира изискванията за такава система за управление, които се одитират като част от процеса на външна сертификация .

Можете да постигнете това с помощта на стандарта:

• Превръщане на сигурността на чувствителната информация в неразделна част от корпоративните процеси.
• Превантивно гарантиране на целите за защита на поверителността, наличността и целостта на информацията
• Поддържане на непрекъснатостта на дейността чрез непрекъснато подобряване на нивото на сигурност
• Чувствителност на служителите и значително повишаване на осведомеността за сигурността на всички нива в компанията
• Изграждане на доверие със заинтересованите страни
• Създаване на ефективен процес за управление на риска

ISO 27019 - Мерки за информационна сигурност при доставка на енергия.

Стандартът ISO 27019 за информационна сигурност формулира допълнителни мерки за сектора на енергетиката.

Той ви помага да защитите вашите електронни системи за управление на процеси, използвани за контрол и наблюдение на производството, преноса, съхранението и разпределението на електрическа енергия, газ, нефт и топлина, както и за контрол на свързаните с тях спомагателни процеси.

Какво можете да направите със стандарта:

• Систематично да осигурите целите за защита на поверителността, наличността и целостта на информацията.
• Непрекъснато да подобрявате нивото на сигурност и устойчивостта на неоторизиран достъп
• Да постигнете по-голяма сигурност на действията и правна сигурност, да подобрите спазването на съответните изисквания за съответствие
• Повишаване на осведомеността за сигурността сред служителите и ръководителите
• Постигане на високо ниво на доверие и лоялност сред всички заинтересовани страни
• Демонстрирайте признати доказателства за ефективността на вашите мерки за сигурност пред властите, като например Германската федерална агенция за мрежите (BNetzA)

ISO 27006 - Изисквания към сертифициращите органи

ISO 27006 е насочен към органи като DQS, които извършват сертифициране на системи за управление на информационната сигурност. Стандартът за акредитация ISO 27006 описва изискванията, които сертифициращите органи трябва да спазват, когато оценяват системите за управление на своите клиенти по ISO 27001 за сертифициране.

Това включва например доказване на определени усилия за одит или спецификации за квалификацията на одиторите. Процесите на акредитация, описани в стандарта, гарантират, че сертификатите по ISO 27001, издадени от акредитирани сертифициращи органи, имат международна валидност.

Какво можете да постигнете с този стандарт:

• Единни критерии за процедурите за одит на сертификацията, надзора и ресертификацията
• Гарантиране на валидността на сертификатите по ISO 27001
• Осигуряване на минимални изисквания за одиторски усилия и квалификация на персонала, който изчислява и извършва сертификационните процедури

ISO 27002 - Ръководство за контрол на информационната сигурност

Системата за управление на информационната сигурност (СУИС) съгласно ISO 27001 съдържа нормативно приложение А: Референтни цели на мерките и контролите.

Това приложение съдържа конкретни мерки, които трябва да бъдат приложени като част от системата за управление, както е уместно за организацията. ISO 27002 е ръководство с препоръки за прилагане на мерките от ISO 27001.

Можете да направите това със стандарта:

• Подкрепа за прилагането на ISO 27001
• Изпълнение на препоръките за мерките в приложение А на ISO 27001

ISO 27000 - Преглед и речник на системите за управление на информационната сигурност

ISO 27000 съдържа термини и определения, които се използват в серията стандарти ISO 2700X. ISO 27000 предоставя преглед на системите за управление на информационната сигурност и серията стандарти ISO 2700х с техните стандарти за информационна сигурност.

В речника (техническите) термини са дефинирани изрично и официално.

Какво можете да направите с този стандарт:

• Глосарий: обхват на повечето технически термини, използвани в серията стандарти ISO2700x в областта на информационната сигурност.
• Яснота по отношение на терминологията
• Ясно разбиране на лексиката сред оценяващите и оценяваните ("общ език")
• Преглед на системите за управление на информационната сигурност: въведение в информационната сигурност, управлението на риска и сигурността и системите за управление

ISO 27701 - Ръководство за управление на защитата на данните

Стандартът за информационна сигурност е конкретно свързан с поверителността на данните ISO 27701 определя система за управление на защитата на данните , основана на ISO 27001, ISO 27002 (контрол на информационната сигурност) и ISO 29100 (рамка за защита на личните данни), за да се справи по подходящ начин както с обработката на лични данни, така и със сигурността на информацията. Това се отнася както за администраторите, така и за обработващите лични данни.

Как можете да постигнете успех с този стандарт:

• По-добро управление на лични данни и информационна сигурност
• По-лесно прилагане на общите принципи за управление на информационния риск към личните данни
• Привеждане в съответствие и разширяване на контрола в рамките на ISO 27001, както и на свързания с него ISO 27002

ISO 27017 - Ръководство за мерки за информационна сигурност в облачните услуги

Стандартът ISO 27017 предоставя ръководство за мерките за информационна сигурност в облачните услуги в рамките на стандартите за информационна сигурност.

Той препоръчва, подкрепя и предоставя допълнителни мерки за прилагане на специфични за облака контроли за информационна сигурност.

Какво можете да постигнете с този стандарт:

• Разбиране на аспектите на информационната сигурност на изчислителните облаци.
• Проектиране и прилагане на специфични за облака контроли за информационна сигурност
• Контрол върху възможностите за избор, прилагане и управление на информационната сигурност за изчисления в облак

ISO 27018 - Ръководство за защита на данните в облачните услуги.

Стандартът ISO 27018 предоставя насоки, за да се гарантира, че доставчиците на облачни услуги предлагат подходящи контроли за информационна сигурност, за да защитят неприкосновеността на личния живот на клиентите си, като обезпечат поверените им лични данни.

Този стандарт е последван от ISO 27017 (Мерки за информационна сигурност в облачните услуги), който обхваща други аспекти на информационната сигурност на изчислителните облаци, а не само защитата на данните.

Ето какво можете да направите със стандарта:

• Изберете контроли за защита на PII като част от внедряването на система за управление на информационната сигурност при изчисления в облак, базирана на ISO 27001.
• Прилагане на общоприети контроли за защита на PII.
• Задълбочаване на познанията, тъй като стандартът се основава на ISO 27002 и разширява общите му съвети в някои области.
• Свързване на принципите на ОИСР за защита на личните данни, въплътени в няколко закона и разпоредби за защита на данните

ISO 27005 - Ръководство за управление на риска в областта на информационната сигурност.

Стандартът ISO 27005 предоставя насоки за управление на риска за информационната сигурност и подкрепя общите концепции в тази област, изложени в ISO 27001.

ISO 27005 също така е предназначен да подпомага прилагането на информационната сигурност въз основа на концепция за управление на риска.

Можете да направите това с помощта на стандарта:

• Внедряване на информационна сигурност въз основа на концепция за управление на риска.
• Определяне на контекста за управление на риска
• Количествена или качествена оценка (т.е. идентифициране, анализ и оценка) на съответните информационни рискове
• Непрекъснато наблюдение и преглед на рисковете, третирането на рисковете, изискванията и критериите
• Подходящо третиране на рисковете
• Постоянна комуникация с всички заинтересовани страни

ISO 27007 - Ръководство за одитиране на ISMS

ISO 27007 е ръководство за провеждане на одити и е предназначено за вътрешни и външни одитори, които оценяват ISMS в съответствие с ISO/IEC 27001.

Ръководството се основава в голяма степен на Ръководството за одитиране на системи за управление (ISO 19011) и предоставя допълнителни насоки за система за управление на информационната сигурност (СУИС).

Ето как можете да постигнете успех в работата със стандарта:

• Ръководство специално за одити на ISMS по ISO 27001
• Ръководство за планиране и провеждане на одити, интегрирано от ISO 19011
• Важна информация за компетенциите на одиторите на ISMS
• Разбиране и извършване на одити на ISMS

DQS - какво можем да направим за вас

DQS е водещ специалист в областта на сертифицирането на системи за управление и процеси от 1985 г. насам. Оттогава историята на DQS е тясно свързана с историята на ISO 9001. Ние предоставяме на клиентите си нашето световно ноу-хау и задълбочено разбиране на стандартите в около 30 000 одиторски дни годишно. Така че можете да видите какви са вашите възможности.

Доверие и опит

Нашите текстове и бели книги са написани изключително от нашите експерти по стандартите или дългогодишни одитори. Както и прегледът на стандартите за информационна сигурност. Ако имате някакви въпроси относно съдържанието на текста или услугите на нашия автор, моля, не се колебайте да се свържете с нас.

Стандарти за информационна сигурност: Други теми от семейството стандарти ISO 2700X

ISO 27003 - Ръководство за разработване и внедряване на ISMS

ISO/IEC 27003:2017

Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Ръководство.

ISO 27004 - Ръководство за методите за измерване на управлението на информационната сигурност

ISO/IEC 27004:2016

Информационни технологии - Техники за сигурност - Управление на информационната сигурност - Мониторинг, измерване, анализ и оценка.

ISO 27008 - Ръководство за оценка на мерките за информационна сигурност

ISO/IEC TS 27008:2019

Информационни технологии - Техники за сигурност - Указания за оценка на контрола на информационната сигурност

ISO 27009 - Ръководство за прилагане на система за управление на информацията в конкретен сектор

ISO/IEC 27009:2020

Сигурност на информацията, киберсигурност и защита на личните данни - Специфично за сектора приложение на ISO/IEC 27001 - Изисквания

ISO 27010 - Ръководство за управление на информационната сигурност за междусекторни и междуорганизационни комуникации

ISO/IEC 27010:2015

Информационни технологии - Техники за сигурност - Управление на информационната сигурност за междусекторни и междуорганизационни комуникации

ISO 27011 - Ръководство за управление на информационната сигурност в телекомуникационния сектор

ISO/IEC 27011:2016

Информационни технологии - Техники за сигурност - Кодекс на практиката за контрол на информационната сигурност, базиран на ISO/IEC 27002 за телекомуникационни организации

ISO 27013 - Ръководство за интегрирано внедряване на ISMS и управление на ИТ услугите

ISO/IEC 27013:2021

Информационна сигурност, киберсигурност и защита на личните данни - Ръководство за интегрирано прилагане на ISO/IEC 27001 и ISO/IEC 20000-1

ISO 27014 - "Управление" на информационната сигурност

ISO/IEC DIS 27014:2020

Информационна сигурност, киберсигурност и защита на личните данни - Управление на информационната сигурност

ISO 27016 - Икономика на управлението на информационната сигурност

ISO/IEC TR 27016:2014

Техники за сигурност. Управление на информационната сигурност. Икономика на организацията

ISO 27021 - Изисквания към компетентността на специалистите по СУИС

ISO/IEC 27021:2017/AMD 1:2021

echniques - Competence requirements for information security management systems professionals - Amendment 1: Addition of ISO/IEC 27001:2013 clauses or subclauses to competence requirements

ISO 27031 - Ръководство за непрекъснатост на дейността

ISO/IEC 27031:2011

Информационни технологии - Техники за сигурност - Насоки за готовност на информационните и комуникационните технологии за непрекъсваемост на бизнеса

СЪВЕТ: Прочетете публикацията ни в блога за управление на непрекъсваемостта на бизнеса, за да научите какво препоръчва стандартът ISO 22301, за да се гарантира продължаването на съществуването на компанията в извънредни ситуации.

ISO 27032 - Ръководство за киберсигурност

ISO/IEC 27032:2012

Информационни технологии - Техники за сигурност - Ръководство за киберсигурност

ISO 27033 - Ръководство за мрежова сигурност

ISO/IEC 27033

Информационни технологии - Техники за сигурност - Мрежова сигурност
Част 1: Част 2: Насоки за проектиране и прилагане на мрежова сигурност, Част 3: Референтни мрежови сценарии - заплахи, техники за проектиране и въпроси на контрола, Част 4: Защита на комуникациите между мрежите чрез използване на шлюзове за сигурност, Част 5: Защита на комуникациите между мрежите чрез използване на виртуални частни мрежи (VPN), Част 6: Защита на безжичния достъп до IP мрежи

ISO 27034 - Ръководство за сигурност на приложенията

ISO/IEC 27034

Информационни технологии - Техники за сигурност - Сигурност на приложенията
Част 1: Преглед и понятия, Част 2: Нормативна рамка на организацията, Част 3: Процес на управление на сигурността на приложенията, Част 4: Валидиране и верифициране, Част 5: Структура на данните за протоколите и контрола на сигурността на приложенията, Част 6: Изследвания на кастинга, Част 7: Рамка за прогнозиране на сигурността

ISO 27035 - Ръководство за управление на инциденти, свързани със сигурността на информацията

ISO/IEC 27035

Информационни технологии - Практики в областта на информационната сигурност - Управление на инциденти в областта на информационната сигурност
Част 1: Основи на управлението на инциденти, Част 2: Насоки за планиране и подготовка за реакция при инциденти, Част 3: Насоки за реакция при инциденти в областта на информационните и комуникационните технологии (проект)

ISO 27036 - Ръководство за взаимоотношенията с доставчиците

ISO/IEC 27036

Информационни технологии - Техники за сигурност - Сигурност на информацията при взаимоотношенията с доставчиците
Част 1: Преглед и концепции, Част 2: Изисквания, Част 3: Насоки за сигурност на веригата на доставки на информационни и комуникационни технологии, Част 4: Насоки за сигурност на облачните услуги

ISO 27037 - Насоки за работа с цифрови доказателства.

ISO/IEC 27037:2012

Техники за сигурност. Насоки за идентифициране, събиране, придобиване и съхраняване на цифрови доказателства

ISO 27038 - Спецификация за редактиране на цифрови данни

ISO/IEC 27038:2014

Техники за сигурност. Спецификация за цифрова редакция

ISO 27039 - Ръководство за системи за откриване на проникване (IDPS)

ISO/IEC 27039:2015

Техники за сигурност. Избор, внедряване и експлоатация на системи за откриване и предотвратяване на прониквания (IDPS)

ISO 27040 - Ръководство за сигурност на съхранението

ISO/IEC 27040:2015

Информационни технологии - Техники за сигурност - Сигурност на съхранението

ISO 27041 - Ръководство за методи за разследване на инциденти

ISO/IEC 27041:2015

Информационни технологии - Техники за сигурност - Ръководство за осигуряване на пригодност и адекватност на метода за разследване на инциденти

ISO 27042 - Ръководство за анализ и тълкуване на цифрови доказателства.

ISO/IEC 27042:2015

Информационни технологии - Техники за сигурност - Указания за анализ и тълкуване на цифрови доказателства

ISO 27043 - Ръководство за процесите на разследване на инциденти.

ISO/IEC 27043:2015

Информационни технологии - Техники за сигурност - Принципи и процеси за разследване на инциденти

ISO 27050 - Ръководство за електронно откриване

ISO/IEC 27050

Информационни технологии - Електронно откриване
Част 1: Преглед и концепции, Част 2: Ръководство за управление и мениджмънт на електронното откриване, Част 3: Кодекс на практиката за електронно откриване

ISO 27102 - Ръководство за киберзастраховане

ISO/IEC 27102:2019

Управление на информационната сигурност - Насоки за киберзастраховане

ISO 27103 - Ръководство за киберсигурност и стандарти на ISO/IEC

ISO/IEC TR 27103:2018

Информационни технологии - Техники за сигурност - Киберсигурност и стандарти ISO и IEC

ISO 27550 - Инженеринг на неприкосновеността на личния живот за процесите от жизнения цикъл на системата

ISO/IEC TR 27550:2019-09

Техники за сигурност. Инженеринг на неприкосновеността на личния живот за процесите от жизнения цикъл на системата

ISO 27799 - Управление на информационната сигурност в сектора на здравеопазването

ISO 27799:2016

Информатика в здравеопазването - Управление на сигурността на информацията в здравеопазването с използване на ISO/IEC 27002