ISO 27001

A Wikipédiából, a szabad enciklopédiából

Az ISO 27001 vagy ISO/IEC 27001 egy információbiztonsági szabvány, amelyet a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) együttesen tesz közzé. A szabvány legutóbbi verziója 2018-ban jelent meg.[1] Az ISO 27001 szabvány egy adott szervezeten belüli információbiztonsági rendszer létrehozására, megvalósítására, karbantartására és folyamatos javítására vonatkozóan határoz meg követelményeket.

Elnevezése[szerkesztés]

Az „ISO” a szabványosítás világának legismertebb hárombetűs szervezete, a Nemzetközi Szabványügyi Szervezet (angolul: International Organization for Standardization). Betűhelyes neve az IOS lenne, de ettől áthallásosabb az ISO betűkombináció, amiből kihallható a görög „izosz” szó, mely többek között azonos-t jelent (lásd izotóp, izomer, izobár szakszavakat és jelentésüket). Ezzel a jelentéstartalommal jól közvetíthető a szabványosítás üzenete, miszerint a szabványosítás egyik küldetése, hogy a világon azonosan értelmezzünk termékekkel és szolgáltatásokkal kapcsolatos követelményeket, elvárásokat.

Az ISO 27001 a 27000-es szabványcsalád tagja. A 27000-es szám a nemzetközi szabványosítás területén az információbiztonság és annak menedzselése témakörének van fenntartva, több mint egy tucat szabvány tartozik ide.

Története[szerkesztés]

Az ISO 27000-es szabványcsalád kialakulásának története a 90-es évek közepére vezethető vissza. 1995-ben jelent meg egy brit szabvány (BS7799-1), majd annak párja (BS7799-2) 1999-ben, melyek az alapját képezik a majdani nemzetközi szabványsorozatnak.

  • 2000-ben jelent meg a témakör első igazi nemzetközi szabványa ISO/IEC 17799 jelzet alatt. 2005-ben egy nagy szabványszám- és jelzet váltás következményeképpen létrejött a ma ismert ISO/IEC 27000-es sorozat.
  • 2013 végéig nagyságrendileg 17000 gazdálkodó szervezet szerzett ISO/IEC 27001:2005 szabvány szerinti független harmadik fél által kiadott tanúsítványt információbiztonsági irányítási rendszerének működésére.
  • 2013 őszén (2013. október 1.) jelent meg a szabvány következő verziója (ISO/IEC 27001:2013), mely új lendületet ad az információbiztonsággal irányítási rendszer szintjén foglalkozó szervezetek információbiztonsági törekvéseinek.

Az ISO/IEC 27001:2013 szabvány az információbiztonsági irányítási rendszerek követelményszabványa, és mint ilyen ez képezi az ún. harmadik fél általi tanúsítások alapját.

A szabvány célja[szerkesztés]

A szabványalkotók az ISO/IEC 27001:2013 szabvánnyal egy olyan követelményhalmazt kívántak megfogalmazni a szervezetek számára, mely szervezeti mérettől függetlenül alkalmazható annak érdekében, hogy információbiztonsági irányítási rendszert (IBIR) alakítsanak ki, vezessenek be, tartsanak fenn illetve fejlesszék információbiztonsági tevékenységüket.

Ez az egész ISO 27000-es szabványcsalád egyértelműen legfontosabb szabványa.

Az ISO/IEC 27001:2013 felülírja és érvényteleníti az ISO/IEC 27001:2006 szabványt. Ez az irányítási rendszer követelményszabvány azt a szerkezetet követi azonos alfejezet címekkel, azonos szövegekkel, közös fogalmakkal és alap meghatározásokkal, melyeket az ISO/IEC direktívák 1. Rész Egyesített ISO Pótkötet SL melléklet határoz meg, és ilyen módon kompatibilis az egyéb irányítási rendszerekkel (lásd ISO 9001, ISO 14001, OHSAS 18001, stb.), melyek alkalmazzák az említett SL jelű mellékletet.

A szabvány általános bemutatása[szerkesztés]

A szabvány előszavából kiderül az, amit a szabványjelzet is egyértelműen jelez: Az ISO és az IEC közös terméke ez a szabvány, és érvényteleníti a 2005-ös kiadású és szélesebb körben ismert szabványelődöt. A bevezetés rögzíti azt a fontos elvet, hogy az információbiztonsági irányítási rendszer (IBIR) a szervezeti folyamatoknak és az általános irányítási struktúrának része és erősen ajánlott az integrált megközelítés. Ugyancsak fontos gondolat, hogy az ISO 27001 belső szerkezete már harmonizált egy ISO/IEC direktívának megfelelően a többi irányítási rendszer szabvánnyal, illetve azok jövőben tervezett kiadásaival (lásd ISO 9001, 14001, 18001 stb.).

  • Az 1. fejezet a szabvány alkalmazási területe, amely leírja, hogy ez a szabvány követelményeket határoz meg a szervezeti környezetben egy információbiztonsági irányítási rendszer kialakítására, bevezetésére, fenntartására és folyamatos fejlesztésére, ugyanakkor követelményeket tartalmaz a szervezet igényei alapján készítendő információbiztonsági kockázatok felmérésre és kezelésre is.
  • A 2. fejezet egy hivatkozást tartalmaz: Az ISO 27000-est említi meg, mely egy áttekintés a szabványcsalád vonatkozásában és szótárként is viselkedik, hiszen minden fontosabb IBIR-hez köthető fogalmat megmagyaráz.
  • A 3. fejezet valójában egy teljességgel üres fejezet, csak egy rövid utalást tartalmaz az ISO 27000-re. Mint a fogalommeghatározásokat tárgyaló fejezet nem vezet be semmilyen új fogalmat, hanem csak azt deklarálja, hogy az ISO 19011 fogalomkészlete érvényes ebben a környezetben.
  • A 4. fejezet a szervezet környezetével foglalkozik, és leginkább azt járja körül, hogy hogyan határozható meg az IBIR alkalmazási területe, terjedelme.
  • Az 5. fejezet a vezetés szerepét járja körül. Szó esik benne elkötelezettségről, politikáról, szervezeti szerepekről, felelősségekről és hatáskörökről.
  • A 6. fejezet a tervezési feladatokat összegzi. Ennek hangsúlyozott része a kockázatelemzés és a feltárt kockázatok kezelése, valamint az információbiztonsági célok meghatározásának követelménye.
  • A 7. fejezet a támogató elemeket veszi számba. Ilyeneknek kell tekintenünk az erőforrásokat, a munkát végző személyek felkészültségét és tudatosságát, valamint a kommunikációt. Ebben a fejezetben kaptak helyet a dokumentációval kapcsolatos követelmények is, ami nyilvánvalóan jelzi, hogy a dokumentálást a szabványalkotók egy fontos támogató funkcióként értelmezik.
  • A 8. fejezet kulcsszava a működtetés. Talán a legfontosabb gondolat az, hogy a szervezetnek tervezett időközönként, vagy amikor jelentős változásokat terveznek vagy fordulnak elő, újra végre kell hajtania az információbiztonsági kockázatfelmérést.
  • A 9. fejezetben találjuk a szervezeti teljesítmény értékelésével kapcsolatos tennivalókat. A klasszikus belső auditok, és a vezetőségi átvizsgálás mellett a folyamatos figyelemmel kísérés és az ehhez a tevékenységhez kapcsolható mérési feladatok jelennek meg itt.
  • A 10. fejezet a fejlesztés jegyében született. A nem-megfelelőségek kezelése mellett a folyamatos fejlesztés kritériuma olvasható ebben a pontban.
  • Az „A” melléklet az, mely már a korábbi szabványverzió esetében is önálló életet élt. Itt olvashatóak táblázatos formában azok az intézkedések és szabályozási célok, melyekből összerakható egy igazán átfogó IBIR. Az a szervezet, mely képes válaszokat megfogalmazni az itt megjelölt összes célra, annak nincs félni valója semmilyen külső auditon, ráadásul még azt is elmondhatja magáról, hogy képes bevezetni és fenntartani egy hatékony irányítási rendszert.

Jegyzetek[szerkesztés]

Források[szerkesztés]

  • Hétpecsétes történetek - Információbiztonság az ISO 27001 tükrében . Alkotószerkesztő: Dr. Ködmön István, Kiadó: Hétpecsét Információbiztonsági Egyesület, Kiadás éve: 2008. - Az Egyesület döntése alapján a Hétpecsétes történetek I. kiadvány e-book (epub) formátumban 2014. szeptember 17-től ingyenesen letölthető: http://hetpecset.hu/oldsite/kiadvany.htm#epub Archiválva 2017. február 1-i dátummal a Wayback Machine-ben
  • Hétpecsétes történetek – II. Információbiztonság az ISO 27000 szabványcsalád tükrében, Alkotószerkesztő: Dr. Ködmön István, Hétpecsét Információbiztonsági Egyesület, 2014. www.hetpecset.hu