ISO 27001

A Wikipédiából, a szabad enciklopédiából

A szabványok világában járatlanok számára pár gondolat arról, hogy mit is jelent ez a betű- és szám kombináció, hogy ISO 27001: Az „ISO” a szabványosítás világának legismertebb hárombetűs szervezete, a Nemzetközi Szabványosítási Szervezet (Organization for International Standardization).

Betűhelyes neve az IOS lenne, de ettől áthallásosabb az ISO betűkombináció, amiből kihallható a görög „izosz” szó, mely többek között azonos-t jelent (lásd izotóp, izomer, izobár szakszavakat és jelentésüket). Ezzel a jelentéstartalommal jól közvetíthető a szabványosítás üzenete, miszerint a szabványosítás egyik küldetése, hogy a világon azonosan értelmezzünk termékekkel és szolgáltatásokkal kapcsolatos követelményeket, elvárásokat.

A 27000-es szám a nemzetközi szabványosítás területén egy speciális témakörnek van fenntartva, ez pedig az információbiztonság és annak menedzselése. Ebben a témakörben születnek folyamatosan új és új szabványok, melyek lassan egy igazi családdá növik ki magukat.

Az ISO 27000-es szabványcsalád kialakulásának története a 90-es évek közepére vezethető vissza. 1995-ben jelent meg egy angol szabvány (BS7799-1), majd annak párja (BS7799-2) 1999-ben, melyek az alapját képezik a majdani nemzetközi szabványsorozatnak.

2000-ben jelent meg a témakör első igazi nemzetközi szabványa ISO/IEC 17799 jelzet alatt. 2005-ben egy nagy szabványszám- és jelzet váltás következményeképpen létrejött a ma ismert ISO/IEC 27000-es sorozat.

2013 végéig nagyságrendileg 17000 gazdálkodó szervezet szerzett ISO/IEC 27001:2005 szabvány szerinti független harmadik fél által kiadott tanúsítványt információbiztonsági irányítási rendszerének működésére.

2013 őszén (2013. október 1.) jelent meg a szabvány legújabb verziója (ISO/IEC 27001:2013), mely új lendületet ad az információbiztonsággal irányítási rendszer szintjén foglalkozó szervezetek információbiztonsági törekvéseinek.

Az ISO/IEC 27001:2013 szabvány az információbiztonsági irányítási rendszerek követelményszabványa, és mint ilyen ez képezi az ún. harmadik fél általi tanúsítások alapját.

Kiknek szól a szabvány és mi végre született?[szerkesztés | forrásszöveg szerkesztése]

A szabványalkotók szándéka az ISO/IEC 27001:2013 szabvánnyal meglehetősen egyértelmű: Egy olyan követelményhalmazt kívántak megfogalmazni, mely szervezeti mérettől függetlenül alkalmazható a szervezetek számára, hogy információbiztonsági irányítási rendszert (IBIR) alakítsanak ki, vezessenek be, tartsanak fenn illetve fejlesszék információbiztonsági tevékenységüket.

Ez az egész ISO 27000-es szabványcsalád egyértelműen legfontosabb szabványa. Ez az a kályha, amihez minden esetben lehet és kell visszatérnünk.

Az ISO/IEC 27001:2013 felülírja és érvényteleníti az ISO/IEC 27001:2005 szabványt. Ez az irányítási rendszer követelményszabvány azt a szerkezetet követi azonos alfejezet címekkel, azonos szövegekkel, közös fogalmakkal és alap meghatározásokkal, melyeket az ISO/IEC direktívák 1. Rész Egyesített ISO Pótkötet SL melléklet határoz meg, és ilyen módon kompatibilis az egyéb irányítási rendszerekkel (lásd ISO 9001, ISO 14001, OHSAS 18001, stb.), melyek alkalmazzák az említett SL jelű mellékletet.

A szabvány általános bemutatása[szerkesztés | forrásszöveg szerkesztése]

A szabvány előszavából kiderül az, amit a szabványjelzet is egyértelműen jelez: Az ISO és az IEC közös terméke ez a szabvány, és érvényteleníti a 2005-ös kiadású és szélesebb körben ismert szabványelődöt.
A bevezetés rögzíti azt a fontos elvet, hogy az információbiztonsági irányítási rendszer (IBIR) a szervezeti folyamatoknak és az általános irányítási struktúrának része és erősen ajánlott az integrált megközelítés. Ugyancsak fontos gondolat, hogy az ISO 27001 belső szerkezete már harmonizált egy ISO/IEC direktívának megfelelően a többi irányítási rendszer szabvánnyal, illetve azok jövőben tervezett kiadásaival (lásd ISO 9001, 14001, 18001 stb.).
Az 1. fejezet a szabvány alkalmazási területe, amely leírja, hogy ez a szabvány követelményeket határoz meg a szervezeti környezetben egy információbiztonsági irányítási rendszer kialakítására, bevezetésére, fenntartására és folyamatos fejlesztésére, ugyanakkor követelményeket tartalmaz a szervezet igényei alapján készítendő információbiztonsági kockázatok felmérésre és kezelésre is.
A 2. fejezet egy hivatkozást tartalmaz: Az ISO 27000-est említi meg, mely egy áttekintés a szabványcsalád vonatkozásában és szótárként is viselkedik, hiszen minden fontosabb IBIR-hez köthető fogalmat megmagyaráz.
A 3. fejezet valójában egy teljességgel üres fejezet, csak egy rövid utalást tartalmaz az ISO 27000-re.
Mint a fogalmi meghatározásokat tárgyaló fejezet nem vezet be semmilyen új fogalmat, hanem csak azt deklarálja, hogy az ISO 19011 fogalomkészlete érvényes ebben a környezetben.
A 4. fejezet a szervezet környezetével foglalkozik, és leginkább azt járja körül, hogy hogyan határozható meg az IBIR alkalmazási területe, terjedelme.
Az 5. fejezet a vezetés szerepét járja körül. Szó esik benne elkötelezettségről, politikáról, szervezeti szerepekről, felelősségekről és hatáskörökről.
A 6. fejezet a tervezési feladatokat összegzi. Ennek hangsúlyozott része a kockázatelemzés és a feltárt kockázatok kezelése, valamint az információbiztonsági célok meghatározásának követelménye.
A 7. fejezet a támogató elemeket veszi számba. Ilyeneknek kell tekintenünk az erőforrásokat, a munkát végző személyek felkészültségét és tudatosságát, valamint a kommunikációt. Ebben a fejezetben kaptak helyet a dokumentációval kapcsolatos követelmények is, ami nyilvánvalóan jelzi, hogy a dokumentálást a szabványalkotók egy fontos támogató funkcióként értelmezik.
A 8. fejezet kulcsszava a működtetés. Talán a legfontosabb gondolat az, hogy a szervezetnek tervezett időközönként, vagy amikor jelentős változásokat terveznek vagy fordulnak elő, újra végre kell hajtania az információbiztonsági kockázatfelmérést.
A 9. fejezetben találjuk a szervezeti teljesítmény értékelésével kapcsolatos tennivalókat. A klasszikus belső auditok, és a vezetőségi átvizsgálás mellett a folyamatos figyelemmel kísérés és az ehhez a tevékenységhez kapcsolható mérési feladatok jelennek meg itt.
A 10. fejezet a fejlesztés jegyében született. A nem-megfelelőségek kezelése mellett a folyamatos fejlesztés kritériuma olvasható ebben a pontban.
Érdekes módon itt érkezünk el a szabvány talán legfontosabb eleméhez az „A” mellélethez. Ez az a melléklet, mely már a korábbi szabványverzió esetében is önálló életet élt. Itt olvashatóak táblázatos formában azok az intézkedések és szabályozási célok, melyekből összerakható egy igazán átfogó IBIR. Az a szervezet, mely képes válaszokat megfogalmazni az itt megjelölt összes célra, annak nincs félni valója semmilyen külső auditon, ráadásul még azt is elmondhatja magáról, hogy képes bevezetni és fenntartani egy hatékony irányítási rendszert.

(A szócikket a Forrásokban megadott szakirodalom alapján állítottuk össze.)

Források[szerkesztés | forrásszöveg szerkesztése]

  • Hétpecsétes történetek – II. Információbiztonság az ISO 27000 szabványcsalád tükrében, Alkotószerkesztő: Dr. Ködmön István, Hétpecsét Információbiztonsági Egyesület, 2014. www.hetpecset.hu