Основният му фокус е върху организационни мерки, намаляващи или модифициращи рисковете за поверителността, интегритета и наличието на информацията, като тези мерки се прилагат най-вече към:
- Оценяване на риска за сигурността на информацията чрез преглед на активите, идентифициране на потенциалните заплахи към тях, преценка за текущия риск, действия за неговото намаляване и управление
- Управление на хората, което да осигурява защита на информацията и конфиденциалност
- Прилагане на действия за защитна на физическо ниво, както по отношение на контрол на достъпа, така и за защита на активите от природни фактори, включително наводнение, пожар и подобни
- Прилагане на мерки и контроли за защита и управление на логическия достъп до мрежи и устройства, включително бекъп, защита от вируси и зловреден софтуер, външни и вътрешни атаки, контрол на правата за достъп, контрол на мрежовите услуги, сигурност на облачните услуги и други.
- Осигуряване на сигурността на информацията още от най-ранните етапи при разработване на разработка на софтуер и проектиране на хардуер
- Процедури за реакция, анализ и докладване на инциденти, свързани със сигурността на информацията
- Осигуряване на непрекъсваемост на достъпа до информационните активи, а оттам и способността на организацията да извършва своята дейност
Каква е разликата между ISO/IEC 27001:2013, EN ISO/IEC 27001:2017 и ISO/IEC 27001:2022?
Числото след двоеточието е годината на издаване, а буквените абревиатури преди ISO са на регионални (EN=Европейска норма) или национална (БДC=Български държавен стандарт, DIN=Немска индустриална норма).
Та накратко, първите две са едно и също, а третото е почти същото :)
ISO/IEC 27001:2022 е най-новата версия на стандарта. Предходните остават в сила до 31.10.2025, когато изтича преходния период.
Защо е нужна сертификация по ISO/IEC 27001:2022?
Сертификацията по ISO/IEC 27001:2022 осигурява доверие във всички настоящи и потенциални заинтересовани страни в способността на организацията ефективно да предостави надеждно ниво на сигурност на информацията.
Тя доказва, че техническите мерки за защита на личните данни (GDPR) се прилагат. Освен това, ISO/IEC 27001 е база за доказване на съответствие по стандартите ISO/IEC 27701 за управление на неприкосновеността на личната информация, ISO 27018, който е кодекс за добри практики за защита на личната информация за идентифициране (ЛИИ) в обществени облаци.
Накратко – осигурява достъп до пазари и доверие в обществото.
Как да получите сертификат по ISO/IEC 27001:2022?
Сертификацията по ISO/IEC 27001:2022 е резултат на одит (проверка) за прилагането на изискванията на стандарта в организацията. Одитът за сертификация се извършва от акредитиран за това орган по сертификация, например от нас. Прилагането на изискванията се осъществява чрез редица вътрешно фирмени и външни документи и практики, съобразени с Политика и насочени за постигане на цели по сигурността, които общо се наричат система за управление.
Колко струва сертификацията по ISO/IEC 27001:2022?
Разходите зависят от размера на организацията, нейната дейност и брой на работни площадки, някои други фактори, но също така и значително от избрания орган за сертификация.
Какво е важно, когато избирам орган по сертификация?
Сертифициращата организация да има изискуемата от закона акредитация. В България агредитиращият орган е ИА „БСА“, като се приемат за еквиваленти акредитациите, признати IAF и ЕА.
Реално, Сертификация под акредитация от ИА "БСА" е валидна и призната в цял свят.
Сертифициращата организация да разполага с адекватен персонал, с който да можете да работите ефективно и приятно.