ISO 27001 ma'lumot xavfsizligini boshqarish tizimining standart tuzilishi
Yaqinda 27001-da ISO 2013 standarti qayta ko'rib chiqilgan. Ushbu versiyada standartning
bandlari quyidagicha:
1. maqsad
2. Sanab o'tilgan standartlar va hujjatlar
3. Shartlar va retseptlar
4. Tashkilotning konteksti
•
Tashkilot va uning
kontekstini tushunish
•
Manfaatdor tomonlarning ehtiyojlari va umidlarini tushunish
•
Axborot xavfsizligini boshqarish tizimining qamrovini aniqlash
•
Axborot xavfsizligini boshqarish tizimi
1. rahbariyati
•
Etakchilik
va sadoqat
•
Siyosat
•
Korporativ rollar, majburiyatlar va vakolatlar
2. rejalashtirish
•
Xavf va imkoniyatlar bilan bog'liq faoliyat
•
Axborot xavfsizligi maqsadlari va ushbu maqsadlarga erishishni rejalashtirish
3.
Yordam
•
resurslari
•
Malakaviy talablar
•
xabardor bo'lish
•
aloqa
•
Yozma ma'lumot
4. operatsion
•
Operatsion rejalashtirish va boshqarish
•
Axborot xavfsizligi xavfini baholash
•
Axborot xavfsizligi xavflarini
qayta ishlash
5. Ishlashni baholash
•
Monitoring, o'lchash, tahlil qilish va baholash
•
Ichki audit
•
Boshqarishni ko'rib chiqish
6.
reabilitatsiya
•
Mos kelmaslik va tuzatish harakati
•
Har doim yaxshilash
ISO 27001 ma'lumot xavfsizligini boshqarish tizimining sertifikati
ISO 27001 ma'lumot xavfsizligini boshqarish tizimini yaratgandan so'ng, korxonalar ushbu
vaziyatni mijozlari, raqobatchilari va tegishli rasmiy va xususiy tashkilotlarga isbotlash uchun ISO
27001 sertifikatiga ega bo'lishni xohlashadi. Biroq, ushbu tizimni o'rnatish maqsadi nafaqat ushbu
hujjatga ega bo'lishi kerak.
Aks holda, tizim yuqorida tavsiflangan imtiyozlarni berishi kutilmaydi.
Amalga oshirish jarayonida aniqlangan boshqarish usullariga muvofiq, axborot aktivlarini
himoya qilish, axborot aktivlariga tahdid soluvchi xavflarni boshqarish, xavflarni kamaytirish yoki
kamaytirish choralari ko'rish, vaqt o'tishi bilan kelib chiqadigan yangi xavflarni baholash va agar
qabul qilinishi mumkin bo'lmagan, lekin qabul qilinishi mumkin bo'lgan xavflar mavjud bo'lsa, ularni
baholash. buning uchun rahbariyatning tasdiqlashi talab qilinadi. Ushbu jarayon biznes mavjud
bo'lguncha davom etadi.
ISO 27001 standarti talablariga javob beradigan va Axborot xavfsizligini boshqarish tizimini
joriy qiladigan korxonalar endi sertifikatlash
organiga murojaat qilib, ISO 27001 sertifikatini
so'rashlari mumkin. Shu nuqtada, sertifikatlashtirish organining mahalliy yoki xorijiy akkreditatsiya
organidan akkreditatsiya qilinishi juda muhimdir. Aks holda, beriladigan hisobotlar va hujjatlar
haqiqiy emas.
Sertifikatlash ishlarining birinchi bosqichi mavjud hujjatlar bilan amalga oshiriladi. Ushbu
bosqichda, axborot xavfsizligi siyosati, xavflarni baholash bo'yicha hisobotlar, xavflarni boshqarish
rejalari,
muvofiqlik deklaratsiyasi, xavfsizlik protseduralari va korxona tomonidan tayyorlangan
qo'llanmalar alohida-alohida ko'rib chiqiladi. Agar ushbu hujjatlarda biron bir nomuvofiqlik
aniqlansa, ular ikkinchi bosqichga o'tishdan oldin bajarilishi kutilmoqda.
Birinchi bosqichni tugatgandan so'ng, sertifikatlashtirish organi bir yoki bir nechta
auditorlarni tayinlaydi va korxonaning ish muhitida audit ishlarini olib boradi. Mahalliy auditlarda,
faoliyat sohasiga qarab, tashkilot tomonidan belgilangan axborot xavfsizligini boshqarish vositalari
ISO 27001 standarti talablariga muvofiqligi yoki yo'qligi kuzatiladi. Ikkinchi bosqich auditlari
tugallangandan so'ng auditorlar hisobot tayyorlaydi va uni sertifikatlashtirish organiga topshiradi.
Sertifikatlashtirish organi ushbu hisobot asosida baholash ishlarini o'tkazadi va agar u tegishli
deb topsa va uni korxonaga etkazib beradigan bo'lsa, ISO 27001 Axborot xavfsizligini boshqarish
tizimi sertifikatini tayyorlaydi. Sertifikatning amal qilish muddati - uch yil. Biroq,
ushbu hujjat
chiqarilganidan so'ng, korxonaning talabiga binoan yiliga bir yoki ikki marta oraliq tekshiruvlar
o'tkaziladi. Uch yildan so'ng, sertifikatlashtirish ishlari yana o'tkazilishi kerak.
