ISO STANDARD 27001 za organizacije
ISO STANDARD 27001 za organizacije
Ste že seznanjeni z ISO standardom 27001 ter v kakšni povezavi je le-ta s kibernetsko varnostjo v vaši organizaciji?
ISO/IEC 27001:2013 je krovni standard na področju varovanja informacij v organizacijah. Namenjen je certificiranju in opredelitvi ključnih zahtev ter pogojev za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje poslovnega modela SUIV, tj. sistema upravljanja informacijske varnosti (ang. ISMS).
Organizacijam omogoča, da celovito zavarujejo svoje informacije in preprečijo njihovo izgubo ali zlorabo. Gre za splošni okvir upravljanja, s katerim organizacija identificira, analizira in obravnava svoja informacijska tveganja. Zajema 14 področij urejanja in 114 kontrol, ki jih mora organizacija izpolniti. Vse zahteve ISO/IEC 27001 so podrobneje opisane in razčlenjene po posameznih ukrepih v standardu ISO/IEC 27002, ki velja za njegovo razširitev oz. kodeks.
Izobraževanje zaposlenih na področju informacijske varnosti
Področje »varovanje človeških virov« vsebuje kontrolo 7.2.2, ki se nanaša na ozaveščanje, izobraževanje in usposabljanje na področju informacijske varnosti:
»Vsi zaposleni v organizaciji in drugi relevantni izvajalci bi morali biti deležni ustreznega izobraževanja in usposabljanja iz ozaveščenosti ter rednih posodobitev organizacijskih politik in postopkov, ki zadevajo njihovo delovno funkcijo.«
Za skladnost s standardom ISO 27001 je upoštevanje te določbe nujno. Organizacije morajo razviti učinkovite programe izobraževanja in ozaveščanja v skladu s svojimi notranjimi politikami. Za vpeljavo SUIV je namreč pomembno, da so uporabniki ozaveščeni o pravilih in varnostnih tveganjih, da so sposobni zaznati kršitve in grožnje ter da so motivirani za upoštevanje pravil v praksi, pri vsakodnevnem delu. Pomembno je, da razumejo cilj informacijske varnosti ter morebitne pozitivne in negativne vplive njihovega vedenja na varnost podatkov.
Programe ozaveščanja je treba načrtovati vnaprej in upoštevati različne vloge zaposlenih v organizaciji. Izvajati jih je potrebno periodično, vsebino programa pa redno posodabljati, tako da ta ostane v skladu z organizacijskimi politikami in novimi varnostnimi smernicami ter grožnjami.
Zakaj se certificirati po standardu ISO 27001?
Z vpeljavo standarda v svojo organizacijo povečate ozaveščenost o varovanju informacij in s tem zmanjšate varnostna tveganja. Z njim vzpostavite zanesljive kontrole nad informacijami v celotnem podjetju. S certifikatom svojim partnerjem in deležnikom dokazujete integriteto na področju informacijske varnosti, kar izboljšuje ugled vaše organizacije in vam koristi pri izboljšanju poslovnih partnerstev in pri prijavah na razpise.
Želite več tovrstnih vsebin s področja Informacijske varnosti? Potem vas vabimo k prijavi na mesečne e-novice s področja informacijske varnosti, kjer skrbimo za vašo osveščenost ter obveščenost o aktualnih oblikah kibernetskih napadov.