ISO/IEC 27001:2013
Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията – Изисквания
ISO/IEC 27001:2013 е международен стандарт, който определя изискванията за създаване, внедряване, поддържане и подобряване на система за управление на сигурността на информацията, базирана на нейната конфиденциалност, цялостност и наличност.
Прилагането на стандарти от серия ISO/IEC 27000 подпомага организациите да управляват и защитят информацията и информационните активи с които боравят, вкл. права на интелектуална собственост, личните данни на заинтересовани страни и др.
Изискванията, определени в този международен стандарт, са основни с цел да бъдат прилагани във всички организации без значение от вида, големината и дейността им.
Прилагането на изискванията на стандарт ISO/IEC 27001 не е гаранция, че нарушенията на сигурността на информацията никога няма да настъпят, но е предпоставка за надеждно управление на рисковете, което свежда до минимум последствията и загубите за организациите.
Чрез своя цялостен подход към сигурността на информацията, ISO 27001 представя практичен и ефективен метод за постигане на съответствие с редица международни изисквания, като Общ регламент относно защита на личните данни (Регламент (ЕС) 2016/679) (GDPR), изискванията за киберсигурност на NYDFS за компаниите за финансови услуги и Директивата за сигурността на мрежовите и информационните системи (NIS).
На национално ниво, прилагането на стандарта е обвързано с изпълнението на Наредба за минималните изисквания за мрежова и информационна сигурност, приета през м. юли 2019 г. Наредбата е приложима за административните органи, операторите на съществени услуги и доставчиците на цифрови услуги, по смисъла на Закона за киберсигурност, относно техните мрежи и информационни системи, използвани при предоставянето на услуги; лицата, осъществяващи публични функции, които не са определени като оператори на съществени услуги по смисъла на Закона за киберсигурност, когато тези лица предоставят административни услуги по електронен път; организациите, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или не са доставчици на цифрови услуги по смисъла на Закона за киберсигурност, когато тези организации предоставят административни услуги по електронен път.
Ползи:
- Конкурентно предимство на организацията, чрез създаване на увереност в партньорите и обществеността
- Избягване на санкции от нарушение на сигурността на данните
- Управление на инциденти със сигурността на информацията
- Непрекъснатост на бизнес-процесите и сигурността на информацията
- Нормативно съответствие и др.