Sa svojom neprocjenjivom vrijednošću, informacije i podaci su srž modernih organizacija. Potreba za zaštitom daleko nadilazi tehničku IT sigurnost. Posljedično, procesi "upravljanja IT uslugama" odvijaju se kao pojas za spašavanje u cijeloj tvrtki i omogućuju visokokvalitetne IT usluge uz smanjene troškove.
Cjelokupno područje informacijske sigurnosti razvija se iznimnom dinamikom. Sigurnosni incidenti, od globalnih napada virusa do kršenja podataka koji oštećuju sliku, podigli su svijest o potrebi za kontroliranim sustavima upravljanja sigurnošću informacija (ISMS).
Međunarodna norma ISO/IEC 27001 "Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi" specificira zahtjeve za uspostavu, implementaciju, rad, praćenje, održavanje i poboljšanje dokumentiranog sustava upravljanja informacijskom sigurnošću, uzimajući u obzir rizike u cijeloj organizaciji.
U obzir dolaze sve vrste organizacija (npr. komercijalna poduzeća, vladine organizacije, neprofitne organizacije).
- Najviša zaštita podataka i informacija
- Zaštita nematerijalne imovine: analogne i digitalne informacije
- Provedba tehničkih i organizacijskih mjera s provjerama učinkovitosti i optimizacijskim petljama
- Uvođenje sustava upravljanja informacijskom sigurnošću iz jednog izvora
- Sustavna procjena i minimizacija sigurnosnih nedostataka
Ovaj je standard prikladan za organizaciju bilo koje veličine i vrste industrije.
Nova verzija ISO/IEC 27001 objavljena je u listopadu 2022. U tom smislu potrebno je ispuniti sljedeće zahtjeve:
- Prijenos će biti dovršen prije listopada 2025. godine.
- Certifikat ISO/IEC 27001:2013 bit će povučen do 31. listopada 2025. godine.
- Prijelaz sa standarda ISO/IEC 27001:2013 na verziju 2022 može se dogoditi tijekom recertifikacijske revizije.
- Ako se premještaj odvija tijekom nadzorne revizije ili posebne revizije, za tu svrhu potrebno je osigurati najmanje 8 dodatnih sati (ovisno o složenosti organizacije/kontrole). Ako do prijenosa dođe tijekom recertifikacijske revizije, dodaju se četiri radna sata.
- Certifikat ISO/IEC 27001:2022 zadržat će se izvorni ciklus certifikacije
Od 1. studenog 2023. inicijalne certifikacije mogu se provoditi samo prema novoj verziji ISO 27001:2022 . ISO/IEC 27001:2022 uključuje zahtjeve sustava upravljanja navedene u poglavljima 4 do 10 i 93 kontrole informacijske sigurnosti u 4 poglavlja (organizacijske kontrole, kontrole ljudi, fizičke kontrole, tehnološke kontrole) navedene u Dodatku A. ISO 27001 temelji se na ISO visokoj strukturi i može se učinkovito kombinirati s drugim standardima kao što su ISO 9001 i ISO 14001 zbog iste strukture i formata.
Dok ISO/IEC 27001 nudi smjernice o širokom rasponu kontrole informacijske sigurnosti koje se uobičajeno primjenjuju u mnogim organizacijama, drugi dokumenti u obitelji ISO/IEC 27000 pružaju komplementarne savjete ili zahtjeve o drugim aspektima cjelokupnog procesa upravljanja informacijskom sigurnošću.
Pogledajte ISO/IEC 27000 za opći uvod u ISMS i niz dokumenata. ISO/IEC 27000 daje rječnik, definirajući većinu pojmova koji se koriste u dokumentaciji obitelji ISO/IEC 27000, te opisuje opseg i ciljeve za svakog člana standarda obitelji.
Postoje sektorski specifični standardi koji uključuju dodatne kontrole usmjerene na bavljenje određenim područjima (npr. ISO/IEC 27017 za usluge u oblaku , ISO/IEC 27701 za privatnost , ISO/IEC 27019 za energiju, ISO/IEC 27011 za telekomunikacijske organizacije i ISO 27799 za zdravlje)