Az információbiztonság irányítási gyakorlatának kézikönyve:
- rendszer, amely információvédelmi tevékenységhez ad útmutatót
- a biztonsági követelményeket és az ezzel kapcsolatos intézkedéseket az üzleti célok és a szervezeti stratégia alapján határozza meg
- kiemelt szerepet kap az információbiztonság (sértetlenség, bizalmasság, rendelkezésre állás)
- nem kötődik egyetlen információtechnológiához sem
A szabványcsomag felépítése:
- ISO 27000 – szótár és definíciók a szabványcsomag használatához
- ISO 27001 – Információbiztonsági Irányítási Rendszer követelményei
- ISO 27002 – gyakorlati útmutató az információvédelem irányításához (ld. MSZ ISO/IEC 17799:2006)
- ISO 27003 – bevezetési útmutató (2007. április…)
- ISO 27004 – szabvány az információbiztonság számszerűsítéséről és mérési lehetőségeiről
- ISO 27005 – információbiztonsággal kapcsolatos kockázatok kezelése (ld. BS 7799-3)
- ISO 27006 – irányelvek az információ- és kommunikáció technológiákhoz kapcsolódó katasztrófa-elhárítási szolgáltatásokhoz
Szabványos információbiztonsági irányítási rendszer követelmények struktúrája, 11 védelmi területet határoz meg:
- Biztonsági szabályzat
- Az információbiztonság szervezete
- Vagyontárgyak kezelése
- Az emberi erőforrások biztonsága
- Fizikai védelem és a környezet védelme
- A kommunikáció és az üzemeltetés irányítása
- Hozzáférés ellenőrzés
- Beszerzés, fejlesztés, fenntartás
- Információbiztonsági incidensek kezelése
- A működés folytonosságának irányítása
- Jogi és műszaki megfelelőség
Nincsenek megjegyzések:
Megjegyzés küldése