ISO 27001 - ALI SE MU DELA KRIVICA?

Standard ISO 27001 - ali se mu dela krivica?

Oct. 5 2020 - mag. Ines Hikl - 2 min

Živimo v dobi digitalizacije, ki seboj prinaša različna tveganja in grožnje na področju informacijske varnosti ne glede na velikost in deljavnost organizacije. Pogosta paradigma je, da so zahteve standarda ISO/ IEC 27001 primerne samo za organizacije, ki se ukvarjajo z informacijsko tehnologijo. Dejansko pa morajo imeti vse organizacije, ki zbirajo in obdelujejo katerekoli vrste podatkov, jasno definirane korake in ukrepe za preprečevanje zlouporabe podatkov, ki jih dnevno obdelujejo. Ukrepi in kontrole se seveda razlikujejo glede na vrsto dejavnosti, toda "jedro" opredelitve in analize tveganja je v bistvu enako.

ISO / IEC 27001 je mednarodni standard o upravljanju informacijske varnosti. Standard v prvi različici je izdala Mednarodna organizacija za standardizacijo (ISO) in Mednarodna komisija za elektrotehniko (IEC) leta 2005 in nato revidirala leta 2013 (Evropska posodobitev standarda je bila objavljena leta 2017). Standard podrobno opisuje zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema upravljanja informacijske varnosti ISMS, katerega cilj je organizacijam pomagati, da informacijska sredstva, ki jih imajo, postanejo varnejša.

Večina organizacij ima vzpostavljene številne kontrole za varnost informacij. Vendar pa so te brez sistematičnega pristopa, ki ga narekuje sistem za upravljanje informacijske varnosti ISMS navadno nekoliko neorganizirane in ločene. Pogosto so to točkovne rešitve za posebne situacije ali zgolj dogovor. S sistemskim pristopom in celovito obravnavo varnosti informacij in informacijskih sistemov organizacije oblikujejo politiko varnosti, ki jim omogoča ustrezno zaščito pred grožnjami in nevarnostmi.

POMEMBNO JE VEDETI:

  • Najšibkejši člen vsakega informacijskega sistema je človek.
  • Neznanje in neodgovorno vedenje zaposlenih je povzročilo več kot 90% incidentov.
  • Če hekerji ne najdejo šibkosti sistema, začnejo izkoriščati človeške napake.
  • V tem primeru je območje napada: e-pošta, telefon in fizični stik.
  • To fazo napada olajšajo izgubljene naprave z dostopom do poslovnih virov.

Zato: Posvetite se usposabljanju in ozaveščanju zaposlenih na področju informacijske varnosti!