ISO 27001 - 2005 ISMS

ISO / IEC 27001-ը՝ ISO / IEC 27000 ստանդարտների շղթայի աճող մասերից մեկը, Տեղեկատվության անվտանգության կառավարման համակարգի (ՏԱԿՀ) ստանդարտ է, որը հրատարակվել է 2005թ.-ի հոկտեմբերին Ստանդարտացման միջազգային կազմակերպության (ISO) և Միջազգային էլեկտրատեխնիկական հանձնաժողովի (IEC) կողմից։ Դրա ամբողջական անվանումն է ISO / IEC 27001:2005 - Տեղեկատվական տեխնոլոգիա - Անվտանգության մեթոդ - Տեղեկատվական անվտանգությոն կառավարման համակարգեր- Պահանջներ, բայց այն հայտնի է որպես «ISO 27001»։

 

ISO/IEC 27001 պաշտոնապես առանձնացնում է մի կառավարման համակարգ, որը նախատեսված է՝ տեղեկատվական անվտանգությունը պարզ կառավարման վերահսկողության ներքո մցնելու համար։ Լինել մի ձևական հատկորոշում նշանակում է, որ այն կարգավորում է հատուկ պահանջներ։ Այն կազմակերպությունները, որոնք պնդում են որ ընդունել են ISO / IEC 27001, հետևաբար, կարող են պաշտոնապես աուդիտի ենթարկվել և վավերացվել ստանդարտին համապատասխան (ավելի մանրամասն ստորև)։

 

Կազմակերպությունների մեծ մասը ունեն մի շարք տեղեկատվական անվտանգության վերահսկողություններ։ Սակայն, առանց ՏԱԿՀ-ի վերահսկողությունները հակված են որոշակիորեն անկազմակերպ ու մասնատված լինելուն, իրականացվելով հաճախ որպես հատուկ իրավիճակներում կարևոր լուծումներ, կամ պարզապես որպես համագումարում քննարկվող առարկաներ։ Ժամկետը լրացած մոդելները սովորաբար վերաբերվում են այս մակարդակին որպես «ժամանակավոր»: Գործընթացի անվտանգության վերահսկումները, որպես կանոն վերաբերվում են  ՏՏ-ի կամ տվյալների անվտանգության որոշ հայեցակետերի, մասնավորապես, թողնելով ՏՏ-ին չվերաբերվող տեղեկատվական միջոցները (ինչպիսիք են գործավարությունը և մասնավոր գիտելիքները) քիչ պաշտպանված։ Օրինակ, բիզնես շարունակականության պլանավորումը և ֆիզիկական անվտանգությունը, կարող է կառավարվել ՏՏ-ից կամ տեղեկատվական անվտանգությունից բավականին անկախ, մինչդեռ Մարդկային ռեսուրսների փորձերը կարող են մի փոքր մեջբերում կատարել ողջ կազմակերպությունում տեղեկատվության անվտանգության դերերը և պատասխանատվությունները սահմանելու և հանձնարարելու համար։

 

ISO / IEC 27001 պահանջում է, որ կառավարումը.

  • Պարբերաբար ուսումնասիրի կազմակերպության տեղեկատվական անվտանգության ռիսկերը, հաշվի առնելով սպառնալիքները, խոցելիությունը և հետևանքները,
  • Մշակի և իրականացնի տեղեկատվական անվտանգության ստուգումների, և/կամ ռիսկի ուղղման այլ ձևերի (ինչպիսիք են ռիսկերից խուսափումը կամ դրանց փոխանցումը) հաջորդական և բազմակողմանի խնդրագրեր, որոնք վերաբերվեն այն ռիսկերին, որոնք անընդունելի են համարվում։
  • Ընդունի մի կապակցող կառավարման ընթացակարգ, որը կհիմնավորի որ տեղեկատվության անվտանգության վերահսկումները շարունակականորեն համապատասխանում են կացմակերպության տեղեկատվությունների անվտանգության պահանջներին։

 

ISO / IEC 27001:2005 նախատեսված է տարբեր տիպի կիրառումների համար, ներառյալ հետևյալը.

  • կիրառել կազմակերպությունների շրջանակներում անվտանգության պահանջները և նպատակները ձևակերպելու համար,
  • կիրառել կազմակերպությունների շրջանակներում, որպես միջոց որը  կերաշխավորի անվտանգության ռիսկերի արդյունավետ կառավարումը,
  • կիրառել կազմակերպությունների շրջանակներում օրենքների և կանոնակարգերի հետ համապատասխանացումը ապահովելու համար,
  • կիրառել կազմակերպությունների շրջանակներում, որպես ստուգումների իրականացման և կառավարման գործըթացի համակարգ, որպեսզի երաշխավորի կազմակերպության անվտանգության հատուկ մոտեցումների համապատասխանությունը,
  • նոր տեղեկատվական անվտանգության կառավարման գործընթացի սահմանման համար,
  • առկա տեղեկատվական անվտանգության կառավարման գործընթացների բացահայտման ու հստակեցման համար,
  • կիրառել կազմակերպությունների ղեկավարների կողմից, տեղեկատվական անվտանգության կառավարման գործունեությունների վիճակը որոշելու համար,
  • կիրառել կազմակերպությունների ներքին և արտաքին աուդիտորների կողմից, կազմակերպության ընդունած քաղաքականությունների, հրահանգների և ստանդարների հետ համապատասխանության աստիճանը որոշելու համար,
  • կիրառել կազմակերպությունների կողմից, գործառնական կամ առևտրային նպատակներով համագործակցող առևտրային գործընկերներին և այլ կազմակերպությունների տեղեկատվական անվտանգության քաղաքականությունների, հրահանգների, ստանդարտների և ընթացակարգերի մասին համապատասխան տեղեկատվություն տրամադրելու համար,
  • բիզնեսը լիազորող տեղեկատվության անվտանգության իրականացման համար,
  • կիրառել կազմակերպությունների կողմից, հաճախորդներին տեղեկատվության անվտանգության մասին համապատասխան տեղեկատվություն տրամադրելու համար։

ISO 27000-ի առավելությունները

ISO 27000-ի շարքի մեկ կամ ավելի ստարնդարտների ընդունման և իրականացման դեպքում առավելությունները շատ են և բազմազան։ Չնայած որ դրանք հակված են տարբերվել կազմակերպությունից կազմակերպություն, այնուամենայնիվ դրանք ընդանուր առմամբ նույնն են։

Ստորև ներկայացված է պոտենցյալ օգուտների ցանկը։ Ինչպես այս կայքի բազմաթիվ նյութեր, սա նույնպես շարունակական ծրագիր է։ Կարող եք ներքևում բերված մեկնաբանությունների միջոցով լրացուցիչ նշումներ ավելացնել.

  • Փոխգործունակցություն։ Սա է ստանդարտացման հիմնական օգուտը։ Գաղափարն այն է, որ տարբեր կողմերի համակարգերը ավելի լավ են միմյանց համապատասխանում, եթե նրանք հետևում են ընդհանուր ուղեցույցերին։
  • Հավաստիացում։ Կառավարումը կարող է հավաստացած լինել համակարգի, բիզնես միավորի կամ այլ սուբյեկտի որակի համար, եթե հետևում են ընդունված համակարգին կամ մոտեցմանը։
  • Պատշաճ ջանադրություն։ Համապատասխանությունը կամ հակառակ սերտիֆիկացումը և միջազգային ստանդարտները հաճախ կառավարության կողմից օգտագործվում են պատշաճ ջանադրություն ցույց տալու համար։
  • Համեմատական վերլուծություն։ Կազմակերպությունները հաճախ օգտագործում են ստանդարտները, որպես իրենց գործնկերների շրջանակում իրենց կարգավիճակի չափ։ Այն կարող է օգտագործվել, որպես ընթացիկ դիրքի և առաջընթացի համեմատական վերլուծություն։
  • Իրազեկություն։ Այնպիսի ստանդարտի իրականացումը ինչպիսին է ISO 27001 կարող են հաճախ հանգեցնել կազմակերպության ներսում անվտանգության առավելագույն իրազեկության։
  • Շտկում։ քանի որ ISO 27001-ի  (և այլ ISO 27000 ստանդարտների) իրականացումը ներգրավում է ինչպես գործարար կառավարումը, այնպես էլ տեխնիկական անձնակազմը, այն հաճախ հանգեցնում է ՏՏ-ի և բիզնեսի բազում շտկումների։
  • Համապատասխանություն։ Չնայած որ կարող է տարօրինակ թվալ սա որպես առաջնային առավելություն ցուցակագրելը, սակայն հաճախ այս ներկայացնում է  «ներդրման վերադարձի» ամենաարագ ձևը՝ եթե կազմակերպությունը, պետք է համապատասխանի տվյալների պաշտպանության, անձնական կամ ՏՏ կառավարման վերաբերյալ տարբեր կանոնակարգերի (հատկապես, եթե դա ֆինանսական, առողջապահական կամ կառավարական կազմակերպություն է), ապա ISO 27001 կարող են մեթոդաբանություն մեջբերել, որը թույլ է տալիս դա անել ամենաարդյունավետ եղանակով։
  • Ծախսերի նվազեցում։ Տեղեկատվական անվտանգության ծախսը սովորաբար համարվում է մի ծախս, որը չի բերում ակնհայտ ֆինանսական ձեռք բերումներ։ Սակայն, այն դեպքում երբ դուք նվազեցնում եք միջադեպի պատճառով առաջացած ձեր ծախսերը այդ դեպքում առկա են ֆինանսական ձեռք բերումներ։ Դուք հավանաբար կունենաք ծառայության ընդհատում, պատահական տվյալների արտահոսք, դժգոհ աշխատակիցներ կամ նախկին աշխատակիցներ։ Ճշմարտությունն այն է, որ դեռևս ոչ մի մեթոդաբանություն և/կամ տեխնոլոգիաներ չեն հաշվարկել, թե որքան գումար կարող եք խնայել, եթե կանխեք նման միջադեպերի առաջացումը։ Բայց դա միշտ լավ է հնչում, երբ դուք դնում եք դրանք կառավարման ուշադրության կենտրոնում։
  • Շուկայական առավել դիրք։ Մի շուկայում, որն ավելի ու ավելի մրցունակ է, երբեմն շատ դժվար է գտնել մի բան, որը կտարբերակի ձեզ, ձեր հաճախորդների աչքերում։ ISO 27001 կարող է իսկապես լինել վաճառքի յուրահատուկ գագաթնակետ, հատկապես, եթե դուք քննարկում եք հաճախորդի կարևոր տեղեկատվությունը։
  • Կարգ ու կանոն Ձեր բիզնեսում։ Այս մեկը թերևս առավել թերագնահատվածն է, եթե դուք մի ընկերություն եք, որը վերջին մի քանի տարիներին կտրուկ աճ է ունեցել, դուք կարող եք կանգնել հետևյալ խնդրի առջև՝ ո­՞վ ի՞նչ պետք է որոշի, ո՞վ է որոշակի տեղեկատվության միջոցների պատասխանատուն, ո՞վ պետք է թույլատրի մուտքը դեպի տեղեկատվության համակարգ և այլն։
ԳԼՈԲԱԼ ԷՍ ՓԻ ՍԻԼԱՎԱԳՈՒՅՆ ԼՈՒԾՈՒՄՆԵՐ

ՄԵՆՔ ՀԱՎԱՍՏԱԳՐՎԱԾ ԵՆՔ

iso9001

ISO 9001:2008