trarzh-TWenfrdeelitfarues

ISO 27001

Certificat ISO al sistemului de management al securității informațiilor ISO 27001

    Sunteți aici:  
  1. ŞTIINŢĂ
  2. certificare
  3. Certificarea sistemului
  4. Sistem de management al securității informațiilor ISO 27001

Sistem de management al securității informațiilor ISO 27001

Certificarea sistemului
Sistem de management al securității informațiilor ISO 27001
  • 1 imagine 2

Ce sunt datele și informațiile?

În primul rând, să analizăm conceptele de bază ale informațiilor. În termenii cei mai simpli, datele brute brute se numesc date. Forma procesată a datelor este informația. Expresia de date sau date este o valoare numerică și logică.

Principalele caracteristici ale informațiilor care trebuie protejate sunt:

  • Confidențialitatea informațiilor: confidențialitatea informațiilor este inaccesibilă și inexplicabilă de către persoane, organizații, entități și procese care nu sunt autorizate.
  • Integritatea cunoașterii: se referă la păstrarea acurateței, integrității și calităților unice ale cunoașterii.
  • Accesibilitatea informațiilor: caracteristica este ca informațiile să poată fi accesate și utilizate oricând numai de persoane autorizate.

Informațiile pot fi clasificate în diverse moduri. Cu toate acestea, în principiu este posibil să se clasifice după cum urmează:

  • Informațiile confidențiale sunt esențiale pentru afaceri. Doar membrii echipei de management pot accesa aceste informații. Accesul, utilizarea și partajarea acestor informații de către persoane neautorizate este incomod pentru întreprindere. Pe scurt, este esențial să păstrați aceste informații confidențiale.
  • Informațiile disponibile în cadrul întreprinderii sunt informații private care sunt accesibile numai angajaților în cauză. Informațiile pe care nu ar trebui să le acceseze și să le vadă alți angajați și terți, alții decât angajații unității. Este esențial ca aceste informații să fie confidențiale.
  • Informațiile personale sunt informațiile personale ale angajaților. Sunt acoperite numai studii personale legate de activitățile de afaceri. Păstrarea și stocarea informațiilor personale care nu sunt relevante pentru lucrare nu sunt corecte. Este esențial ca informațiile personale să fie accesibile.
  • Informațiile disponibile pentru companie sunt destinate exclusiv angajaților. Integritatea și accesibilitatea sunt esențiale pentru astfel de informații. Informațiile partajate între unități intră în această clasă.

Ce este sistemul de management al securității informațiilor ISO / IEC 27001?

Pentru a asigura securitatea tuturor tipurilor de informații, standardul ISO / IEC 2005 pentru securitatea informațiilor a fost publicat de Organizația Internațională pentru Standarde (ISO) și Comisia Electrotehnică Internațională (IEC) în 27001.

De fapt, istoria acestui standard constituie prima parte a standardului BS 1995 publicat de Institutul britanic de Standarde în 7799, iar cea de-a doua parte publicată în 1998. Aceste standarde au fost revizuite împreună în 1999. Până în anul 2000, a fost publicat standardul ISO / IEC 17799. În 2002, standardul BS 7799-2 a fost actualizat și, prin 2005, au fost emise următoarele standarde de către Organizația Internațională pentru Standarde:

  • ISO 7799: standardul 2 în loc de BS 27001-2005
  • ISO 17799: standard 2000 în loc de ISO 27002: standard 2005

Aceste două standarde au fost revizuite cel mai recent în 2013.

Această familie standard a fost publicată de Institutul de Standarde Turcesc din țara noastră după cum urmează:

  • Tehnologia informației - Tehnici de securitate - Sisteme de management al securității informațiilor - Prezentare generală și glosar
  • TS EN ISO / IEC 27001 Tehnologia informației - Tehnici de securitate - Sisteme de management al securității informațiilor - Cerințe
  • TS EN ISO / IEC 27002 Tehnologia informației - Tehnici de securitate - Principii de aplicare pentru controlul securității informațiilor
  • TS ISO / IEC 27003 Tehnologia informației - Tehnici de securitate - Ghid de aplicare a sistemului de management al securității informațiilor
  • ISO / IEC 27004 Tehnologia informației - Tehnici de securitate - Gestionarea securității informațiilor - Măsurare
  • TS ISO / IEC 27005 Tehnologia informației - Tehnici de securitate - Gestionarea riscului de securitate a informațiilor
  • TS ISO / IEC 27006 Tehnologia informației - Tehnici de securitate - Cerințe pentru organizațiile care efectuează auditul și certificarea sistemelor de management al securității informațiilor
  • TS ISO / IEC 27007 Tehnologia informației - Tehnici de securitate - Ghid pentru auditul sistemelor de management al securității informațiilor
  • TSE ISO / IEC RO 27008 Tehnologia informației - Tehnici de siguranță - Ghid de control al securității informațiilor pentru auditori

Ce este riscul, managementul riscului și amenințarea?

Expresia de risc plasată în limba noastră din franceză este definită ca pericol de rău. Riscul este apariția unui eveniment neașteptat și afectarea acestuia. Prin urmare, riscul este considerat o situație negativă, un pericol. În acest fel, pentru a proteja împotriva efectelor negative ale riscurilor și pentru a evita orice rău, se iau măsuri prin luarea în considerare a diferitelor posibilități. Metoda care include aceste studii și activitățile de planificare se numește gestionarea riscurilor.

Gestionarea riscului este procesul de identificare, măsurare, analiză și evaluare a unui număr de factori de risc și minimizarea pierderilor posibile pentru a preveni întreruperea operabilității unei întreprinderi și pentru a se asigura că activitățile nu sunt afectate negativ. Cu toate acestea, nu este posibilă eliminarea completă a riscului în activitățile de gestionare a riscurilor.

Elementele principale ale unui studiu de management al riscului sunt:

  • Determinarea activelor întreprinderii cu valoare informativă
  • Identificarea pericolelor interne și externe care amenință întreprinderea
  • Detectarea punctelor slabe și deschise care pun în pericol afacerea
  • Determinarea probabilității de realizare a riscului
  • Determinarea efectelor riscurilor asupra activităților întreprinderii și ale sistemului

Prin activ, înțelegem tot ce face parte din sistem și are o valoare pentru întreprindere. Prin urmare, activele sunt valoroase pentru afacere și trebuie protejate.

În ceea ce privește sistemul de tehnologia informației, activele nu înseamnă numai software și hardware. Următoarele sunt incluse în conceptul de ființă: toate tipurile de informații, computerele personale, imprimantele, serverele și toate componentele hardware, sistemele de operare, aplicațiile dezvoltate, programele de birou și toate programele similare, telefoanele, cablurile, modemurile de linie, dispozitivele de comutare și toate celelalte dispozitive de comunicare , toate documentele, serviciile produse și bineînțeles reputația și imaginea afacerii de pe piață.

Riscurile fac obiectul unei anumite clasificări în studiile de gestionare a riscurilor. De exemplu, în cazul în care activul este deteriorat în grupul cu risc scăzut, sistemul de informații nu se va deteriora prea mult și sistemul va continua să funcționeze. Această situație nu dăunează reputației întreprinderii. Sistemul de informații este afectat dacă activul este deteriorat în grupul de risc mediu. Deși sistemul continuă să funcționeze, activul trebuie încă pus în aplicare. Această situație dăunează reputației întreprinderii. Sistemul de informare este puternic afectat dacă activul este deteriorat în grupul cu risc ridicat. Aproape jumătate din sistem devine inutilizabil. Pentru ca sistemul să funcționeze, activul trebuie înlocuit. Această situație afectează în mod semnificativ reputația întreprinderii. În grupul cu risc foarte ridicat, prezența informațiilor a fost grav afectată și, în acest caz, operabilitatea sistemului a fost puternic afectată. Sistemul de informații nu este disponibil. Această situație afectează reputația companiei pe piață foarte prost.

O amenințare este potențialul oricărei surse de amenințare, fie intenționat, fie ca rezultat al unui accident, să exploateze o vulnerabilitate în sistem și să deterioreze bunurile. Pericolele naturale includ cutremure, alunecări de teren, inundații, fulgere sau furtuni. Amenințările pentru mediu includ poluarea aerului, întreruperile prelungite ale alimentării și scurgerile. Amenințările cauzate de ființele umane sunt cauzate de oameni conștient sau în necunoștință. De exemplu, introducerea unor date greșite în sistem, atacuri de rețea externe, instalarea de programe rău intenționate în sistem, furtul acreditărilor utilizatorilor sau accesarea persoanelor autorizate în sistem.

Deschiderea către sistemele informatice reprezintă o slăbiciune, o eroare sau un defect întâlnit în procedurile de securitate a sistemului, în practică sau în cadrul auditurilor interne, care încalcă securitatea informațiilor. Aceste deschideri nu reprezintă un pericol. Trebuie să existe o amenințare pentru realizarea lor.

Care este domeniul de aplicare al sistemului de management al securității informațiilor ISO 27001?

Întreprinderile furnizează anumite informații în cadrul activităților lor, indiferent de sectorul sau mărimea în care operează, iar aceste informații sunt valoroase pentru fiecare întreprindere. Eforturile de protejare a informațiilor vor fi diferite de cele ale întreprinderilor, însă, în general, sistemul va acoperi următoarele elemente principale:

  • Conducerea de vârf a întreprinderii ar fi trebuit să definească și să explice o politică care trebuie urmată în domeniul securității informațiilor.
  • Activele informatice din întreprindere ar trebui enumerate și arătate în ordinea importanței.
  • Posibilitatea ca angajații să facă greșeli ar trebui să fie împiedicată.
  • Riscul utilizării abuzive a activelor informatice în cadrul întreprinderii ar trebui redus.
  • Atacurile asupra surselor de informații și riscul corupției sau modificării informațiilor ar trebui reduse.
  • Sistemele informatice operaționale ar trebui să fie suficiente și fiabile.
  • Numai persoanele autorizate ar trebui să aibă acces la informații.
  • În cazul unei încălcări a securității, ar trebui să fie posibilă o reacție rapidă și rapidă în funcție de forma evenimentului.
  • Atacurile asupra informațiilor nu trebuie să întrerupă principalele activități ale întreprinderii și ar trebui să se poată readuce rapid în mediul normal. Cu alte cuvinte, ar trebui asigurată continuitatea activităților.
  • Sistemul de management al securității informațiilor trebuie să fie la un nivel suficient pentru a îndeplini obligațiile reglementărilor legale ale unei entități.

Sistemul de management de securitate ISO 27001 Informații, întreprinderi în domeniul tehnologiei informației este percepută doar ca un proiect de securitate a informațiilor este proiectul cu privire la faptul că acest sistem de afaceri întreg. Prin urmare, este direct responsabil pentru înființarea și funcționarea senior standard de management ISO 27001. Astăzi Information Security Management System ISO 27001, toate resursele umane in afaceri, managementul superior, care implică sisteme de informații și procesele de afaceri sunt gestionate în ansamblu.

Obiectivele principale ale standardului ISO 27001 sunt:

  • Pentru a identifica vulnerabilitățile de securitate ale informațiilor, dacă există
  • Identificarea riscurilor care amenință activele informatice
  • Pentru a determina metodele de audit pentru a asigura securitatea informațiilor la risc
  • Asigurarea efectuării controalelor necesare și păstrarea posibilelor riscuri la un nivel acceptabil
  • Pentru a asigura continuitatea controalelor de securitate a informațiilor în cadrul întreprinderii

Ce înseamnă sistemul de management al securității informațiilor ISO 27001?

ISO 27001 standardul, care operează în stabilirea metodologiei de evaluare a riscurilor permite pregătirea pregătirii planului de raport de evaluare a riscului și tratamentul riscului.

În timp, natura amenințărilor și vulnerabilităților prezente în sistem se poate schimba. Sau, ca urmare a controalelor efectuate cu standardul ISO 27001 aplicat, riscurile pot fi reduse sau gravitatea poate fi redusă. Prin urmare, activitățile de monitorizare a riscurilor ale întreprinderilor sunt importante. Întreprinderile sunt obligate să efectueze studii de evaluare a riscurilor în conformitate cu metodologia acceptată în perioada pe care au stabilit-o.

ISO 27001 în cadrul standardului va fi pregătită politica de securitate a informațiilor, directorul trebuie să conțină următoarele teme: securitatea fizică și de mediu, de securitate echipamente, sisteme de operare și de securitate utilizatorului final, securitate parola și sisteme de servere și de securitate.

probleme fizice și de mediu de securitate, care funcționează în prevenirea accesului neautorizat la active și sistemelor informaționale se referă la protecția împotriva diferitelor riscuri. Astăzi, siguranța fizică și de mediu a devenit din ce în ce mai importantă. posesia echipei de securitate privată de intrarea în clădire de afaceri este blocat și intră în mediul în care informațiile importante sunt păstrate sistemele de securitate criptate în aceste medii sunt exemple de astfel de măsuri. Stabilirea scopului comun al protejării sistemelor informatice cu carduri de control al accesului și alte forme de sisteme de securitate fizică. O astfel de securitate a frontierelor fizice, cerințele de securitate sunt stabilite în funcție de rezultatele evaluării riscurilor și activelor de informare. există prea riscant mediu în care informații, cum ar fi metoda de autentificare cu card sau PIN-ul de protecție este închis pentru accesul neautorizat. În plus, trebuie luate măsuri de protecție fizică, incendii, inundații, cutremure, tulburări civile sau dezastre naturale, cum ar fi explozii împotriva daunelor vor apărea ca urmare și ar trebui să fie puse în aplicare.

Importanța sistemului de management al securității informațiilor ISO 27001

Securitatea informațiilor, continuitatea activității în afaceri, pentru a reduce la minimum pericolul situației și pierderea inevitabilă a confidențialității surselor, în orice caz, are ca scop protejarea integrității și accesibilității. Astăzi, nu numai cu angajații, partenerii de afaceri, acționarii și societatea, acționând în colaborare cu clienții săi, crearea unui mediu sigur pentru întreținerea și protejarea informațiilor confidențiale este de o importanță strategică în ceea ce privește managementul afacerilor.

probleme de securitate cu experiență în diferite moduri, nu numai întrerupe continuitatea operațiunilor de afaceri cauzează pierderea de piață, creând provocări competitive și parteneri de afaceri, acționari și duce la pierderea încrederii în fața clienților. Costul acestor cheltuieli să fie făcute pentru a recâștiga luata in considerare, este mai scump decât costul acestor măsuri pentru a evita pierderea.

Informațiile pentru întreprinderi, precum alte active comerciale, reprezintă un bun care are valoare și, prin urmare, trebuie protejat. Informațiile au o importanță deosebită pentru ca întreprinderea să își continue activitățile. Din acest motiv, este important ca activele informatice să rămână confidențiale, integritatea lor să fie menținută și disponibilă în orice moment, pe scurt, securitatea informațiilor este asigurată. Sistemul de management al securității informațiilor ISO / IEC 27001 este singurul sistem internațional și auditabil care definește nevoile întreprinderilor în această direcție.

standard de 27001 ISO, guvernamentale, financiare, sănătate și tehnologia informației sectoare precum prelucrarea informațiilor și protecția de mare importanță în sectoare care sunt deosebit de necesare. Acest standard este important și pentru companiile care administrează informații pentru alte persoane și organizații. În acest fel, întreprinderile își oferă clienților siguranța că informațiile lor sunt protejate.

ISO 27001 Sistemul de management al securității informațiilor este un sistem de management stabilit de întreprinderi, cu scopul de a asigura securitatea informațiilor, aplicarea acestui standard, monitorizarea, revizuirea, menținerea și îmbunătățirea continuă a aplicației. În acest cadru, se efectuează studii de analiză a riscurilor pentru a determina resursele întreprinderii și pentru a identifica riscurile posibile. Studiile de evaluare a riscului sunt compararea riscului cu criteriile de risc date pentru a determina semnificația riscului.

ISO 27001 Planificarea sistemului de management al securității informațiilor

Stabilirea standardului ISO 27001 în întreprindere depinde de un număr de pași. Este ca și cum,

  • În primul rând, trebuie colectate informații despre infrastructura întreprinderii. Aceste informații se referă la domeniile de activitate ale întreprinderii, natura muncii efectuate, misiunea și soluționarea întreprinderii.
  • Apoi, numele de chei care vor servi la stabilirea sistemului ar trebui să fie determinate. În acest stadiu, trebuie să se determine persoanele responsabile pentru gestionarea riscurilor și scopul stabilirii sistemului.
  • Apoi situația de securitate a întreprinderii ar trebui să fie determinată în situația actuală.
  • Ar trebui colectate informații, cum ar fi locațiile, operațiunile, funcțiile de afaceri și tehnologiile informaționale, care vor determina domeniul de aplicare al sistemului.
  • În acest stadiu, obiectivul și sfera de aplicare a sistemului de management al securității informațiilor ISO 27001 ar trebui stabilite și trebuie stabilit un program de lucru.
  • În cele din urmă, în ultima etapă, ar trebui stabilite procesele necesare pentru stabilirea sistemului și continuitatea sistemului.

Ciclul, care este valabil în mod tradițional pentru toate sistemele de management al calității, este de asemenea aici:

  • Plan (Stabilirea sistemului de management al securității informațiilor)
  • Aplicați (Implementarea și funcționarea sistemului de management al securității informațiilor)
  • Verificați (monitorizarea și revizuirea sistemului de management al securității informațiilor)
  • Luați măsuri de precauție (întreținerea și îmbunătățirea sistemului de management al securității informațiilor)

Firește, prin înființarea unui astfel de sistem, întreprinderile câștigă beneficii enorme. De exemplu,

  • Entitatea recunoaște existența și semnificația tuturor bunurilor informaționale.
  • Protejează activele informatice prin aplicarea acestora la metodele de control și de protecție specificate.
  • În acest fel, este asigurată continuitatea lucrării. Când se întâlnește orice risc, activitățile sunt împiedicate să fie întrerupte.
  • Cu acest sistem, compania câștigă încrederea părților afiliate, deoarece va proteja informațiile companiilor și clienților furnizori.
  • Protecția informațiilor nu este lăsată la întâmplare.
  • Afacerea acționează mai sistematic decât concurenții săi atunci când evaluează clienții săi.
  • Motivarea angajaților în afaceri crește.
  • Deoarece vor fi asigurate reglementările legale, este posibilă evitarea posibilelor acțiuni legale.
  • Reputația afacerii pe piață crește, iar afacerea este cu un pas înainte în lupta împotriva concurenților săi.

Sistemul de management ISO 27001 Information Security, necesită luarea în considerare a tuturor activelor de informare și puncte slabe în funcționarea și evaluarea acestor active și luând în considerare amenințările cu care se confruntă o analiză de risc făcut. Selectați metoda corespunzătoare pentru a se asigura că managementul riscului companiei este obligată să facă propria structură și riscul de planificare. Standardul include obiective de control și metode de control pentru procesarea riscurilor.

standardele ISO 27001, în conformitate cu societatea, managementul riscului și face planul de tratament a riscului pentru a stabili sarcinile și responsabilitățile, să pregătească planuri de continuitate, pregăti procesele de management de urgență și trebuie să țină evidența lor în timpul aplicării.

Întreprinderile trebuie, de asemenea, să emită o politică de securitate a informațiilor care să acopere toate aceste activități. Toți conducătorii și angajații ar trebui, de asemenea, să fie conștienți de securitatea și amenințările la adresa informațiilor. ISO 27001 Informații despre securitate aplicație Sistem de management, obiectivele de control selectate și controalele trebuie să fie măsurate și raționalitatea de performanță trebuie să fie monitorizată în mod continuu. Acest proces ar trebui să fie un proces viu, de management al securității informațiilor, managementul superior ar trebui să primească sprijinul activ și a asigurat participarea tuturor angajaților. Solicitarea de gestionare a riscurilor de afaceri, formarea politicii, să fie documentate în procesul de securitate pot beneficia de servicii de consultanță și sprijin de specialitate în stabilirea și punerea în aplicare a metodelor de control adecvate.

Pe scurt, standardul ISO 27001 este un sistem care definește securitatea totală a informațiilor și modul de asigurare a securității informațiilor ca proces viu. Pașii de instalare a acestui sistem pot fi descriși după cum urmează:

  • Clasificarea activelor informatice
  • Evaluarea activelor informatice în conformitate cu criteriile de confidențialitate, integritate și accesibilitate
  • Analiza riscurilor
  • Determinarea metodelor de control care trebuie aplicate în funcție de rezultatele analizei riscurilor
  • Finalizarea lucrărilor de documentare
  • Aplicarea metodelor de control determinate
  • Efectuarea studiilor de audit intern
  • Păstrarea înregistrărilor cerute de standard
  • Desfășurarea reuniunilor de revizuire a conducerii
  • Realizarea de studii de certificare

Amenințări și deficiențe legate de comunicarea electronică

În cadrul reglementărilor legale relevante, există câteva lucruri pe care trebuie să le facă întreprinderile pentru a asigura securitatea informațiilor:

  • Păstrați înregistrări ale jurnalelor IP utilizate de computere
  • Mențineți evidența angajaților care au adrese IP pentru trecut
  • Păstrați înregistrări logice ale călătoriilor angajaților pe Internet
  • Păstrarea înregistrărilor de jurnale electronice trimise de angajați
  • Menținerea înregistrărilor paginilor de pe Internet pe care angajații le-au cheltuit și cât timp au petrecut în trecut
  • Furnizați acces limitat la accesul la Internet prin filtrarea după conținut
  • Asigurarea integrității tuturor înregistrărilor obținute și dovedirea faptului că acestea nu au fost modificate

În acest cadru, principalele amenințări la adresa comunicării electronice a angajaților sunt:

  • Angajații care intră într-o zonă de sensibilitate la securitate fără autorizație sau depășesc limitele de autorizare existente
  • Angajații încearcă să perturbe confidențialitatea, integritatea și continuitatea datelor fără autorizație sau prin depășirea limitelor de autorizare existente prin ștergerea, adăugarea, modificarea, întârzierea, salvarea pe un alt mediu sau dezvăluirea informațiilor
  • Încercarea de a împiedica, integral sau parțial, componentele hardware și software să îndeplinească cerințele stabilite în conformitate cu reglementările legale și standardele interne și externe
  • Oferind impresia că comunicarea electronică se face cu partea potrivită prin inducerea în eroare a utilizatorului
  • Monitorizarea comunicării electronice prin metode ilegale
  • Susținând că aceste informații au fost obținute de la o altă parte prin furnizarea de informații incorecte sau prin transmiterea acestor informații incorecte unei alte părți
  • Pentru a face infrastructura de comunicații electronice parțial sau total inoperabilă sau pentru a consuma resursele pentru această infrastructură într-un mod care să împiedice furnizarea de servicii

Între timp, câteva puncte slabe pentru comunicarea electronică pot fi enumerate după cum urmează:

  • Provocări viitoare neprevăzute
  • Erori la proiectarea unui sistem sau a unui protocol
  • Probleme la instalarea unui sistem sau a unui protocol
  • Erori cauzate de dezvoltatorii de software
  • Erori ale utilizatorilor
  • Neconformități sau neconformități care apar în timpul utilizării sistemului

Structura standard a sistemului de management al securității informațiilor ISO 27001

Standardul ISO 27001 a fost recent revizuit în 2013. În această versiune, clauzele standardului sunt după cum urmează:

  1. domeniu
  2. Standardele și documentele citate
  3. Termeni și rețete
  4. Contextul organizației
  • Înțelegerea organizației și a contextului acesteia
  • Înțelegerea nevoilor și așteptărilor părților interesate
  • Determinarea sferei de aplicare a sistemului de management al securității informațiilor
  • Sistem de management al securității informațiilor
  1. conducere
  • Conducerea și angajamentul
  • Politika
  • Rolul, responsabilitățile și autoritățile companiei
  1. planificare
  • Activități care se ocupă de riscuri și oportunități
  • Obiectivele de securitate a informațiilor și planificarea realizării acestor obiective
  1. suport
  • resurse
  • calificări
  • conștientizare
  • comunicare
  • Informații scrise
  1. operare
  • Planificarea și controlul operațional
  • Evaluarea riscului de securitate a informațiilor
  • Prelucrarea riscurilor de securitate a informațiilor
  1. Evaluarea performanței
  • Monitorizare, măsurare, analiză și evaluare
  • Auditul intern
  • Revizuirea managementului
  1. reabilitare
  • Nonconformitate și acțiuni corective
  • Îmbunătățirea continuă

ISO 27001 Certificare sistem de management al securității informațiilor

După înființarea sistemului de management al securității informațiilor ISO 27001, întreprinderile vor dori să obțină certificatul ISO 27001 pentru a dovedi această situație clienților, concurenților și organizațiilor oficiale și oficiale înrudite. Cu toate acestea, scopul instalării acestui sistem nu ar trebui să fie doar acela de a avea acest document. În caz contrar, nu se poate aștepta ca sistemul să furnizeze beneficiile descrise mai sus.

În conformitate cu metodele de control stabilite în timpul procesului de implementare, protejarea bunurilor informaționale, controlul riscurilor care amenință activele informaționale, luarea de măsuri pentru eliminarea sau atenuarea riscurilor, evaluarea noilor riscuri apărute în timp și evaluarea acestor riscuri, pentru acestea, sunt necesare aprobări de conducere. Acest proces va continua atâta timp cât există afacerea.

Întreprinderile care îndeplinesc cerințele standardului ISO 27001 și implementează sistemul de management al securității informațiilor pot solicita acum un certificat ISO 27001 aplicând unui organism de certificare. În acest moment, este extrem de important ca organismul de certificare să fie acreditat de către un organism de acreditare local sau străin. În caz contrar, rapoartele și documentele care trebuie emise nu pot avea valabilitate.

Prima etapă a lucrărilor de certificare se realizează prin lucrarea de documentare existentă. În acest stadiu, se gestionează individual politica de securitate a informațiilor, rapoartele de evaluare a riscurilor, planurile de acțiune privind riscurile, declarația de conformitate, procedurile de securitate și instrucțiunile de aplicare elaborate de întreprindere. Dacă se constată o neconformitate în aceste documente, se așteaptă ca acestea să fie finalizate înainte de a trece la a doua etapă.

După finalizarea primei etape, organismul de certificare numește unul sau mai mulți auditori și inițiază activitatea de audit în mediul de lucru al întreprinderii. În cadrul acestor audituri la fața locului se observă dacă controalele de securitate a informațiilor determinate de entitate în funcție de domeniul de activitate respectă cerințele standardului ISO 27001. După finalizarea auditurilor din a doua etapă, auditorii întocmesc un raport și îl prezintă organului de certificare.

Organismul de certificare efectuează studii de evaluare bazate pe acest raport și pregătește certificatul de sistem de management al securității informațiilor ISO 27001 dacă consideră necesar și îl livrează întreprinderii. Perioada de valabilitate a certificatului este de trei ani. Cu toate acestea, după emiterea acestui document, auditurile intermediare se efectuează o dată sau de două ori pe an, în conformitate cu solicitarea întreprinderii. După trei ani, studiile de certificare trebuie să fie efectuate din nou.

 

certificare

Compania oferă servicii de audit, supraveghere și certificare la standarde acceptate la nivel internațional și oferă, de asemenea, servicii periodice de inspecție, testare și control.

Bize Ulașın

adresa:

Mahmutbey Mh, Dilmenler Cd, nr. 2 
Bagcilar - Istanbul, TURCIA

telefon:

+ 90 (212) 702 00 00

Whatsapp:

+ 90 (532) 281 01 42

E-mail:

[e-mail protejat]

Arama