В последните години, особено с ускореното развитие на електронното управление, възниква потребност от подобряване защитата на информацията, която организациите получават, създават, обработват и съхраняват. В много случаи клиентите вече изискват доказателство за прилаганата практика, която опазва сигурността на информацията.
Тази потребност се реши с публикувания през 2005г. международен стандарт ISO 27001 „Системи за управление на информационната сигурност”. Същият е разработен на база Британския стандарт BS 7799-2:2002 и на добрите практики заложени в ISO 17799. Последните изменения на стандарта са актуални към 2013 година и корекция от 2015.
ISO/IEC 27001 поставя изисквания към системите за управление на информационната сигурност и е приложим за всяка организация, която управлява информация и желае да демонстрира колко надеждно тя се съхранява, управлява и разпространява.
В последните години стандарта се внедрява ускорено и броя на внедрените системи надхвърля 24 000.
С въвеждането и сертифицирането на система по ISO 27001 организацията е в състояние да гарантира, че:
- изпълнява изискванията на нормативните документи на договорите с клиенти относно осигуряване сигурността на съответната информация;
- създала е ефективно управление на сигурността на информацията чрез оценка на риска и внедряването на механизми за ефикасен контрол;
- осигурява непрекъсваемост на дейността на организацията в случай на извънредни ситуации и кризи.
Системата за управление на информационната сигурност обхваща:
- Оценка на риска за информационната сигурност – идентификация на активите имащи отношение към сигурността, определяне и оценяване на заплахите, третиране и управление на рисковете;
- Сигурност на човешките ресурси – опазването на поверителността на информацията от персонала;
- Физическа сигурност – изисквания за прилагане на средства за физическа защита на активите, както и за гарантирането на сигурността им от заплахи – пожари, наводнения, извънредни ситуации;
- Компютърна и мрежова сигурност – архивиране, защита от вируси и външни атаки, организация на логическия достъп до системите и мрежите, контрола на мрежовите услуги и други;
- Сигурност софтуер и хардуер – въвеждане на механизми за контрол на сигурността на етап на неговото разработване;
- Управление на инциденти – докладване, реакция и анализ на инцидентите по сигурността;
- Управление на непрекъсваемостта – въвеждане на непрекъснат режим на работа на информационните активи, с което се гарантира постоянното и качествено обслужване.
