ISO/IEC 27001 – Információbiztonság üzleti szemmel, nem IT-s „papírként”
Az ISO/IEC 27001 az információbiztonsági irányítási rendszer (ISMS) nemzetközi szabványa, amely abban segít, hogy a szervezeted az üzletileg fontos információkat kockázatalapon, tervezetten és auditálható módon védje. A szabvány lényege nem az, hogy konkrét technológiákat ír elő, hanem az, hogy legyen működő rendszered arra, hogyan kezeled az információbiztonsági kockázatokat, hogyan választod ki a megfelelő kontrollokat, és hogyan bizonyítod, hogy ezek működnek is.
Az ISO 27001 jelentősége az elmúlt években látványosan nőtt, mert egy adatvesztés, zsarolóvírus-támadás vagy jogosulatlan hozzáférés már nem csak IT-incidens, hanem üzletmeneti és reputációs kockázat, gyakran jogi következményekkel. Sok iparágban ráadásul az ISO 27001 tanúsítás ma már nem versenyelőny, hanem beszállítói elvárás és belépési feltétel.
A szabvány logikájának középpontjában a CIA triád áll: bizalmasság, sértetlenség és rendelkezésre állás. A megfelelés alapja az információs vagyonok azonosítása, a kockázatok értékelése, a szükséges védelmi intézkedések kiválasztása és a bizonyítható működtetés. Ebben kulcsszerepet kap a Statement of Applicability (SoA), amely rögzíti, hogy az Annex A kontrollok közül mit alkalmaz a szervezet és milyen indokkal.
Az itt meghivatkozott ISO 27001 témájú cikkekben részletesen bemutatjuk többek között az ISMS bevezetés lépéseit, a kockázatkezelési módszertant, a SoA felépítését, a jogosultságkezelés tipikus auditpontjait, valamint az incidenskezelés és mentési/helyreállítási bizonyítékok gyakorlati követelményeit.