ISO 27001

A Wikipédiából, a szabad enciklopédiából

Az információbiztonsági irányítási rendszer követelményszabványa, amely a tanúsítás alapját képezi, az ISO/IEC 27001:2005 (illetve a magyar szabvány: MSZ ISO/IEC 27001:2006).

Az MSZ ISO/IEC 27001:2006 szabvány követelménystruktúrája[szerkesztés | forrásszöveg szerkesztése]

A szabvány a főfejezeteiben az irányítási rendszer működtetésének követelményeit határozza meg, amely összhangba hozható a többi (tanúsítható) irányítási rendszer követelményeivel. Ennek megfelelően a szabvány főbb fejezetei:

  • 1. Alkalmazási terület
  • 2. Rendelkező hivatkozások
  • 3. Szakkifejezések és meghatározásuk
  • 4. Az információvédelem irányítási rendszere
  • 5. A vezetőség felelőssége
  • 6. Belső ISMS-auditok
  • 7. Az ISMS vezetőségi átvizsgálása
  • 8. Az ISMS fejlesztése
  • A melléklet (előírás): Szabályozási célok és intézkedések
  • B melléklet (tájékoztatás): Az OECD-irányelvek és e nemzetközi szabvány
  • C melléklet (tájékoztatás): Kapcsolat az ISO 9001:2000, az ISO 14001:2004 és e nemzetközi szabvány között

A minőségirányítási rendszer szabványához (MSZ EN ISO 9001:2009) hasonlóan a konkrét irányítási rendszerre vonatkozó követelményeket a 4-8. fejezetek tartalmazzák. Ezek a követelmények azonban csak a menedzsmentrendszerek általános PDCA kereteit tartalmazzák, úgymint:

  • az irányítási rendszer (jelen szabványnál az információbiztonsági irányítási rendszer) kialakításának elvárásai – a PDCA figyelembe vételével,
  • az irányítási rendszer dokumentálásának követelményei,
  • képzési követelmények
  • szükséges erőforrások biztosítása,
  • irányítási rendszer belső auditálása,
  • irányítási rendszer vezetőségi átvizsgálása,
  • irányítási rendszer folyamatos fejlesztése követelményeit.

A konkrét technikai követelményeket (szabályozási célokat) a szabvány az "A mellékletében" sorolja fel, ami egyben felöleli az információbiztonság szabályozásának feladatait, területeit is:

  • A5. Biztonsági szabályzat
  • A6. Az információ-biztonság szervezete
  • A7. Vagyontárgyak kezelése
  • A8. Az emberi erőforrások biztonsága
  • A9. Fizikai védelem és a környezet védelme
  • A10. A kommunikáció és az üzemeltetés irányítása
  • A11. Hozzáférés-ellenőrzés
  • A12. Információs rendszerek beszerzése, fejlesztése és fenntartása
  • A13. Információbiztonsági incidensek kezelése
  • A14. Működés folytonosságának irányítása
  • A15. Követelményeknek való megfelelés

Ez a terminológia egyben pontosan megfelel az MSZ ISO/IEC 17799:2006 szabvány terminológiájának is (5 … 15 szabványfejezetek), amely ezen szabványkövetelmények értelmezését mutatja be gyakorlati példákkal, magyarázatokkal.

A 27000-es szabványcsoport szabványai[szerkesztés | forrásszöveg szerkesztése]

Az ISO szervezet 2005-ben a 27000-es szabványcsoportot jelölte ki az információbiztonsági irányítási rendszerekkel kapcsolatos szabványok egységes jelölésének, és akkor indította útjára először a tanúsítás alapját képező ISO/IEC 27001:2005 szabványt. (Ez a szabvány a megelőző, már nemzetközileg is elterjedő BS 7799-2:2002 szabvány továbbfejlesztésével, javításával és ily módon az ISO szabványokba való beemelésével jött létre.)

Az ISO/IEC 27000-es szabványcsoport tartalmazza az információbiztonsági irányítási rendszerrel kapcsolatos szabványokat Ezek egy része már kiadásra került (amelyek kisebb része megjelent magyar fordításban, MSZ jelzettel is), továbbiak azonban még az előkészítési munka különböző fázisaiban tartanak.

Kiadott szabványok:

  • ISO/IEC 27000:2009. Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
  • ISO/IEC 27001:2005. Information technology -- Security techniques -- Information security management systems – Requirements
  • ISO/IEC 27002:2005. Information technology -- Security techniques -- Code of practice for information security management
  • ISO/IEC 27003:2010. Information technology -- Security techniques -- Information security management system implementation guidance
  • ISO/IEC 27004:2009. Information technology -- Security techniques -- Information security management – Measurement
  • ISO/IEC 27005:2008. Information technology -- Security techniques -- Information security risk management
  • ISO/IEC 27006:2007. Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

Előkészületben, illetve kidolgozás alatt lévő szabványok:

  • ISO/IEC CD 27007. Information technology -- Security techniques -- Guidelines for information security management systems auditing
  • ISO/IEC WD 27008. Guidance for auditors on ISMS controls

Források[szerkesztés | forrásszöveg szerkesztése]