ISO/IEC 27001 деген эмне?
ISO/IEC 27001 — Эл аралык стандартташтыруу уюму (ISO) тарабынан жарыяланган маалымат коопсуздугун башкаруу системалары (МКБС) үчүн жетектөөчү эл аралык стандарт. 2022-жылдын редакциясы (ISO 27001:2022) А Тиркемесинде ISO 27002:2022 менен макулдашылган контролдук чаралардын жаңыланган топтомун киргизип, алардын санын 114төн 93кө чейин 4 тематикалык топ боюнча кыскартты.
Сертификация уюм маалымат коопсуздугунун тобокелдиктерин баалап, үчүнчү тараптын көз карандысыз аудитинен өткөн системалык башкаруу структурасынын алкагында тиешелүү контролдук чараларды ишке ашырганын тастыктайт.
ISO 27001 кимге керек?
- Корпоративдик B2B-кардарлары бар технология жана SaaS-компанияларга
- Финансылык кызматтар, банк иши жана төлөм системалары тармагындагы уюмдарга
- Бейтаптардын маалыматтарын иштеткен саламаттык сактоо жана MedTech компанияларына
- Мамлекеттик мекемелерге жана мамлекеттик сектордун подрядчиктерине
- Дата-борборлорго, булут провайдерлерине жана башкарылуучу кызмат көрсөтүүчүлөргө
- Кардарлардын суроо-талаптарына же коопсуздук боюнча сатып алуу анкеталарына жооп берген ар кандай уюмга
ISO 27001:2022 — 2013 менен салыштырганда негизги өзгөрүүлөр
ISO 27001:2013 боюнча сертификацияланган уюмдар 2022-жылдын версиясына өтүүгө милдеттүү. Негизги өзгөрүүлөр:
- А Тиркеме 4 темага кайра структураланды: Уюштуруу, Кадрлар, Физикалык, Технологиялык
- Коркунучтарды анализдөө, булут коопсуздугу жана маалыматтарды маскалоону камтыган 11 жаңы контролдук чара кошулду
- Контролдук чаралардын жалпы саны 114тен 93ке чейин кыскартылды (бир бөлүгү бириктирилди)
- Башка ISO менеджмент системаларынын стандарттары менен шайкештиги жогорулатылды (Жогорку деңгээлдеги бирдиктүү структура)
ISO 27001 сертификациясынын колдонуу чөйрөсү
Колдонуу чөйрөсүн аныктоо — сертификация процессинин олуттуу этабы. Чөйрө кайсы маалымат активдери, процесстер, жайгашкан жерлер жана бөлүмдөр МКБСтин чектерине кирерин аныктайт. GAP-анализ этабында BALTUM колдонуу чөйрөсүн аныктоо боюнча деталдуу сунуштамаларды берет, ал заинтересованный тараптар үчүн маанилүү жана максаттуу мөөнөттөр алкагында жетишиле турган болот.
BALTUM менен иш: этап-этап менен
- 1-Этап — GAP-анализ жана чөйрөнү аныктоо: ISO 27001:2022 талаптарына карата учурдагы абалды баалоо. Дал келбөөчүлүктөр реестри. Колдонуу чөйрөсүнүн документи. Долбоордун жол картасы.
- 2-Этап — МКБС документациясы: Маалымат коопсуздук саясаты, тобокелдиктерди баалоо жана иштеп чыгуу методологиясы, Колдонулуучулук жөнүндө билдирүү, процедуралар жана контролдук чаралардын документациясы.
- 3-Этап — Ишке ашырууну колдоо: Контролдук чараларды ишке ашыруу боюнча жетекчилик, ички аудит жана жетекчилик тарабынан анализ жүргүзүүгө көмөк.
- 4-Этап — Сертификация аудити: 1-Этап — документарлык текшерүү жана 2-Этап — аккредитацияланган сертификация органы тарабынан жеринде / аралыктан аудит.
- 5-Этап — Көзөмөл: Жылдык көзөмөл аудиттери жана ар үч жылда кайра сертификацияны пландоо.
Типтүү мөөнөттөр
Орточо уюм үчүн (50-500 кызматкер) баштапкы сертификацияда: старттан сертификат алууга чейин 3-6 ай. Мөөнөттөр уюмдун көлөмүнө, учурдагы жетилгендик деңгээлине жана ички ресурстардын жеткиликтүүлүгүнө жараша болот. BALTUM ар бир долбоордун башында контролдук чекиттер менен долбоор планын берет.
Башка стандарттар менен интеграция
ISO 27001 көбүнчө толуктоочу стандарттар менен бирге ишке ашырылат. BALTUM жалпы документация, контролдук чаралар жана аудиторлук иш-чаралар менен интеграцияланган программаларды сунуштайт:
- ISO 27001 + ISO 27701 (маалымат купуялуулугун башкаруу)
- ISO 27001 + ISO 22301 (бизнес үзгүлтүксүздүгү)
- ISO 27001 + ISO 42001 (ЖИ башкаруу системасы)
- ISO 27001 + SOC 2 (бирдиктүү далил базасы системасы)
- ISO 27001 + PCI DSS (финансылык сектор)