Ugrás a tartalomhoz

ISO/IEC 27001

A Wikiszótárból, a nyitott szótárból


Főnév

ISO/IEC 27001 (tsz. ISO/IEC 27001s)

  1. (informatika) Az ISO/IEC 27001 egy nemzetközi információbiztonsági szabvány .

A szabványnak számos elismert nemzeti változata is létezik. Részletezi az információbiztonsági irányítási rendszer (ISMS) létrehozásának, bevezetésének, karbantartásának és folyamatos fejlesztésének követelményeit – amelynek célja, hogy segítse a szervezeteket a birtokukban lévő információs vagyon biztonságosabbá tételében. [ 1 ] Azok a szervezetek, amelyek megfelelnek a szabvány követelményeinek, választhatnak egy akkreditált tanúsító szervezet általi tanúsítást az audit sikeres befejezése után .

Eredetileg a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) közösen publikálta 2005-ben [ 2 ] , majd 2013-ban felülvizsgálták [ 3 ] A szabvány jelenlegi változata az ISO/IEC 27001:2022 . [ 4 ]

Indoklás A legtöbb szervezet számos információbiztonsági ellenőrzéssel rendelkezik . Információbiztonsági irányítási rendszer (ISMS) nélkül azonban az ellenőrzések általában némileg szétziláltak és szétziláltak, mivel gyakran konkrét helyzetekre adott pontmegoldásként vagy egyszerűen megegyezés alapján kerültek bevezetésre. A működő biztonsági ellenőrzések jellemzően az információtechnológia (IT) vagy az adatbiztonság bizonyos aspektusaira vonatkoznak ; a nem informatikai információs eszközök (mint például a papírmunka és a védett tudás) összességében kevésbé védettek maradnak. Ezen túlmenően az üzletmenet-folytonosság tervezése és a fizikai biztonság az IT- vagy információbiztonságtól teljesen függetlenül kezelhető, míg a humánerőforrás gyakorlatok kevéssé utalnak arra, hogy az egész szervezeten belül meg kell határozni és ki kell osztani az információbiztonsági szerepeket és felelősségeket.

Az ISO/IEC 27001 előírja, hogy a menedzsment:

Szisztematikusan vizsgálja meg a szervezet információbiztonsági kockázatait, figyelembe véve a fenyegetéseket, sebezhetőségeket és hatásokat; Tervezze meg és hajtsa végre az információbiztonsági ellenőrzések és/vagy a kockázatkezelés egyéb formáinak koherens és átfogó csomagját (például kockázatelkerülést vagy kockázatátadást) az elfogadhatatlannak ítélt kockázatok kezelésére; és Átfogó irányítási folyamatot kell alkalmazni annak biztosítására, hogy az információbiztonsági ellenőrzések folyamatosan megfeleljenek a szervezet információbiztonsági igényeinek. Az, hogy az ISO/IEC 27001 szerinti tanúsítás részeként milyen ellenőrzéseket tesztelnek, a tanúsító auditortól függ. Ez magában foglalhat minden olyan kontrollt, amelyet a szervezet az ISMS hatálya alá tartozónak ítélt, és ez a tesztelés olyan mélységű vagy mértékű lehet, amelyet az ellenőr értékel, ha szükséges annak teszteléséhez, hogy a kontrollt végrehajtották-e és hatékonyan működik-e.

A vezetés határozza meg az ISMS hatókörét a tanúsítás céljából, és korlátozhatja azt például egyetlen üzleti egységre vagy helyszínre. Az ISO/IEC 27001 tanúsítvány nem feltétlenül jelenti azt, hogy a szervezet többi része, a hatókörön kívül, megfelelő megközelítést alkalmaz az információbiztonság kezelésében .

Az ISO/IEC 27000 szabványcsalád más szabványai további útmutatást adnak az ISMS tervezésének, megvalósításának és működtetésének bizonyos szempontjairól, például az információbiztonsági kockázatkezelésről ( ISO/IEC 27005 ).

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=ISO/IEC_27001&oldid=3492540