Informacijska varnost – it
Sistem upravljanja informacijske varnosti
Ob vedno večji odvisnosti od informacijskih tehnologij, odprtosti organizacij in povečevanju pomena informacij v sodobnem poslovanju, sta iz želje po ureditvi in poenotenju razmer v organizaciji na področju informacijske varnosti nastala standarda za vodenje varovanja informacij ISO/IEC 27002 in ISO/IEC 27001. Standarda sta poslovodno in od posameznih tehnoloških rešitev neodvisni orodji, ki ponujata celovit pregled varovanja informacij pri poslovanju organizacije. Ocena informacijskih tveganj je osnova za izgradnjo sistema vodenja varovanja informacij in njegova temeljna značilnost.
Standard ISO/IEC 27002 ponuja nabor možnih ukrepov za nadzor prepoznanih tveganj, ki so se z leti uporabe v različnih organizacijah po svetu pokazali kot primeri dobre prakse. V štirinajstih poglavjih je opisanih 114 kontrol, ki so namenjene doseganju 35 različnih ciljev.
Standard ISO/IEC 27001 je zapisan v obliki zahtev, ki jih morate v organizaciji izpolnjevati, če želite pridobiti certifikat. Zahteve iz poglavij 4, 5, 6, 7, 8, 9 in 10 morate upoštevati brez opustitev in v celoti.
Poleg omenjenih poglavij standard vsebuje prilogo A, kjer je izvleček 114-tih kontrol iz standarda ISO/IEC 27002 in je potrebno za vsako neupoštevano kontrolo navesti razlog opustitve.
Standarda sta celovita v smislu informacijske varnosti. To pomeni, da ne obravnavata le informacijske tehnologije in informacij v elektronski obliki, temveč informacije v vseh možnih oblikah in medijih. V tem smislu je veliko opisanih kontrol povsem organizacijske narave in niso povezane s tehnologijo (npr.: klasifikacija informacij, politika prazne mize, fizično varovanje objektov ali opis varovanja informacij v pogodbah o zaposlitvi).
Poslovne koristi vzpostavitve sistema:
- prepoznavanje in zmanjšanje varnostnih tveganj na želeno raven,
- izboljšanje poslovnih partnerstev (večja zaupnost medsebojno izmenjanih informacij),
- obvladovanje procesov varovanja informacij.