Защита информации компаний от утечек и взломов становится все более сложным делом, в которое часто вовлекаются многие системы, инструменты и человеческие ресурсы, чтобы все удалось сделать правильно с первого раза. Однако, даже самые лучшие усилия могут привести к неудаче, если вся система не будет эффективно управляться, чтобы обеспечить полную ее прозрачность для понимания того, что работает, а что нет, и как вся система вписывается в организационные структуры и стратегии. Именно поэтому согласованный на международном уровне стандарт управления информационной безопасностью только что был обновлен.
ISO/IEC 27014, Информационная безопасность, кибербезопасность и защита частной жизни - Управление информационной безопасностью, предоставляет руководство по концепциям, целям и процессам управления информационной безопасностью, с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию системы управления информационной безопасностью, основанной на стандарте ISO/IEC 27001.
Д-р Эдвард Хамфриз (Edward Humphreys), руководитель совместной рабочей группы экспертов ИСО и МЭК, разработавшей стандарт [1], заявил:
Новая редакция ISO/IEC 27014 является ключевым дополнением к ISO/IEC 27001, поскольку она имеет фундаментальное значение для деятельности по управлению информационной безопасностью, встроенной в сферу действия системы менеджмента информационной безопасности, а также в контексте общего организационного управления.
Стандарт был недавно обновлен с целью повышения ясности и улучшения структуры документа, а также предоставления обновленной информации. Он был приведен в соответствие с ISO/IEC 27001, Информационные технологии. Методы обеспечения защиты. Системы обеспечения информационной безопасности. Требования, оставаясь при этом актуальным для более широкого круга требований к управлению организацией.
К ISO/IEC 27014 присоединятся еще несколько стандартов по информационной безопасности, которые в настоящее время разрабатываются тем же экспертным комитетом. К ним относятся следующие:
- ISO/IEC 27002, Информационная технология. Методы обеспечения безопасности. Свод правил по элементам управления информационной безопасностью
- ISO/IEC TS 27110, Информационные технологии, кибербезопасность и защита частной жизни - Руководящие принципы разработки рамок кибербезопасности
- ISO/IEC TS 27100, Информационные технологии - Кибербезопасность - Обзор и концепции
- ISO/IEC 27005, Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Они доступны или будут доступны у вашего национального члена ИСО или в интернет-магазине ИСО.
- ISO/IEC 27014 и все стандарты, упомянутые в этой статье, являются результатом работы совместного технического комитета ИСО и МЭК (Международная электротехническая комиссия) ИСО/МЭК СТК 1, Информационные технологии, подкомитет ПК 27 Информационная безопасность, кибербезопасность и защита частной жизни, секретариат которого ведется DIN, членом ИСО от Германии.