ISO/CEI 27002 – Wikipedia

Posted on by
before-content-x4

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Norme ISO/CEI 27002 jest międzynarodowym standardem dotyczącym bezpieczeństwa informacji, opublikowanego wspólnie w 2005 r. Przez Międzynarodową Organizację Standaryzacji ISO i Międzynarodową Komisję Elektrotechniczną IEC, poprawioną w 2013 r., Która jest tytuł po francusku Technologie informacyjne – Techniki bezpieczeństwa – Kodeks dobrej praktyki do zarządzania bezpieczeństwem informacji . Jest częścią ISO/CEI Suite 27000.

after-content-x4

ISO/CEI 27002 to zestaw 114 miar zwanych „najlepszymi praktykami” (dobre praktyki w języku francuskim), które mają być używane przez wszystkich osób odpowiedzialnych za wdrożenie lub utrzymanie informacji o systemie zarządzania bezpieczeństwem (SMSI). Bezpieczeństwo informacji jest zdefiniowane w ramach standardu jako ” Zachowanie poufności, integralności i dostępności informacji ».

Ten standard nie jest obowiązkowy dla firm. Jego szacunek można jednak wymienić w umowie: usługodawca może zatem zobowiązać się do poszanowania znormalizowanych praktyk w swoich stosunkach z klientem.

  • W 1995 r. Brytyjski standard „BS 7799”, który został utworzony przez British Standards Institution (BSI), zdefiniowało szczegółowe środki bezpieczeństwa.
  • W 1998 r. BSI zobaczył pierwszy dokument w dwóch tomach: BS 7799-1 odpowiadający kodom dobrych praktyk oraz BS 7799-2 odpowiadających specyfikacjom systemu zarządzania bezpieczeństwem informacji (SMSI).
  • W 2000 r. Międzynarodowa Organizacja Standaryzacji (ISO) opublikowała standard ISO/CEI 17799: 2000 odpowiadający kodom dobrych praktyk z BS 7799.
  • W 2005 r. Opublikowano dwa standardy:
    • ISO/CEI 17799: 2005, który przekształca domeny i cele,
    • ISO/CEI 27001: 2005, który wprowadza koncepcję SMSI i oferuje możliwość certyfikacji.
  • W 2007 r. Standard ISO/CEI 17799: 2005 był przestarzały, został zastąpiony standardem 27002, który podjął swoje niezbędne elementy.
  • W 2013 r. Standard został zaktualizowany, a jego tytuł został zmieniony. Przeszła wiele zmian, takich jak:
ISO 27002: 2005 ISO 27002: 2013
11 rozdziałów +4 14 rozdziałów +4
39 celów bezpieczeństwa 35 celów bezpieczeństwa
133 Środki bezpieczeństwa 114 środków bezpieczeństwa

Wersja międzynarodowego standardu w 2013 r. Umożliwi firmom wszystkich rozmiarów i sektorów z zadowoleniem przyjmować szybką ewolucję i zwiększoną złożoność zarządzania informacjami oraz ciągłe wyzwanie, jakie reprezentuje cyberbezpieczeństwo. Bibliografia uzupełnia standard.

ISO/CEI 27002 jest bardziej kodeksem praktyki, niż realny standard lub formalna specyfikacja, taka jak ISO/CEI 27001. Przedstawia serię kontroli (35 celów kontrolnych), które sugerują uwzględnienie ryzyka bezpieczeństwa informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących poufność, uczciwość i aspekty dostępności. Firmy, które przyjmują ISO/CEI 27002, muszą ocenić własne ryzyko bezpieczeństwa informacji i zastosować odpowiednie sterowanie, wykorzystując standard do kierowania firmą. Standard ISO 27002 nie jest standardem w zwykłym tego słowa znaczeniu. Rzeczywiście, nie jest to standard charakteru technicznego, technologicznego lub zorientowanego na produkt lub metodologia oceny sprzętu, takiego jak wspólne kryteria CC/ISO 15408. /CEI 27001 Standard.

Standard nie ustala celów poziomów ani bezpieczeństwa i wycofania w rozdziałach wprowadzających, potrzeba dokonywania okresowych analiz ryzyka, ale nie określa żadnych zobowiązań dotyczących metody oceny ryzyka, dlatego wystarczy wybrać tę, która spełnia potrzeby. Z wyników analizy ryzyka organizacja „rysuje” w różnych sekcjach standardu, które musi wdrożyć, aby zaspokoić jej potrzeby bezpieczeństwa. W 2002 r. Ponad 80 000 firm porównało ten standard na całym świecie.

Standard ISO/CEI 27002 składa się z 18 rozdziałów, z których pierwsze 4 przedstawiają standard, a następujące 14 rozdziałów obejmują zarządzanie bezpieczeństwem zarówno w aspektach strategicznych, jak i w aspektach operacyjnych.

after-content-x4

Table of Contents

Rozdział N O 1: Champ d’Aolling [[[ modyfikator |. Modyfikator i kod ]

Standard zawiera zalecenia dotyczące zarządzania bezpieczeństwem informacji dla osób odpowiedzialnych za projektowanie, wdrażanie lub utrzymanie bezpieczeństwa.

Rozdział N O 2: Warunki i definicje [[[ modyfikator |. Modyfikator i kod ]

„Bezpieczeństwo informacji” jest wyraźnie zdefiniowane jako „zachowanie poufności, integralności i dostępności informacji”. Te i inne powiązane terminy są zdefiniowane później.

Rozdział N O 3: Struktura tego standardu [[[ modyfikator |. Modyfikator i kod ]

Ta strona wyjaśnia, że ​​standard zawiera cele sterowania.

Rozdział N O 4: Ocena ryzyka i leczenia [[[ modyfikator |. Modyfikator i kod ]

ISO/CEI 27002 obejmuje temat zarządzania ryzykiem. Daje ogólne dyrektywy dotyczące wyboru i zastosowania odpowiednich metod analizy ryzyka bezpieczeństwa informacji; Nie określa konkretnej metody, ponieważ musi być odpowiednia w zależności od kontekstu.

Rozdział N O 5: Zasady bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]

Istnieją dwa środki bezpieczeństwa. Dbają o skład polityk bezpieczeństwa i ich okresowe czasopisma. Jest to kwestia podsumowania punktów artykułów czwartych i pięciu standardów ISO 27001. Następnie ISO 27002 radzi zbliżyć się do każdego obszaru związanego z bezpieczeństwem. Przywołaj każdy rozdział standardu.

Rozdział N O 6: Organizacja bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]

Nie ma szczególnego związku między różnymi miernikami bezpieczeństwa omówionymi w tym rozdziale. Wszystkie są organizacyjne.

  • Rozkład ról i obowiązków : Środek zaleca jasne rozdzielanie ról i obowiązków w zakresie bezpieczeństwa. Zgodnie ze standardem można również zidentyfikować menedżerów głównych aktywów.
  • Oddzielenie zadań : Standard zaleca oddzielenie zadań, aby zapobiec ryzyku oszustw i/lub nielegalnych modyfikacji. To zalecenie jest bardzo rozpowszechnione w dziedzinie finansowej.
  • Stosunki z władzami : Duża liczba organizacji musi mieć stosunki z władzami. Relacje te muszą być sformalizowane i utrzymywane. Władze, z którymi musisz być w kontakcie, różnią się w zależności od działania organizacji.
  • Stosunki ze specjalistycznymi grupami roboczymi : Wskazane jest uczestnictwo w profesjonalnych forach zajmujących się problemami bezpieczeństwa. Pozwala to wymieniać doświadczenia i poprawić ogólny poziom bezpieczeństwa.
  • Zarządzanie projektem : Standard zaleca integrację bezpieczeństwa z zarządzaniem projektem. Podana porada polega na ocena ryzyka, a następnie zintegrowanie punktów bezpieczeństwa ze wszystkimi.
  • Mobilność i teleprac : Ta miara dotyczy problemów mobilności pomimo aspektu technicznego. Środek ten stał się ważny w przypadku opracowywania parków mobilnych (smartfonów, tabletów).

Rozdział N O 7: Bezpieczeństwo zasobów ludzkich [[[ modyfikator |. Modyfikator i kod ]

Istnieje wiele środków bezpieczeństwa, które należy podjąć z personelem przed zatrudnieniem, podczas ich obecności w organizacji, a następnie, kiedy odejdzie:

  • Przed zatrudnieniem : Pożądane jest określenie kryteriów wyboru przed zatrudnieniem ogólnych umiejętności i umiejętności bezpieczeństwa niezbędnego dla każdego stanowiska. Ponadto standard zaleca sformalizowanie w umowach o pracę zobowiązania przyszłego pracownika pod względem bezpieczeństwa.
  • Podczas umowy : Kierownictwo musi zapewnić, że każdy przyjmuje odpowiednie zachowanie w odniesieniu do bezpieczeństwa informacji.
    • Publikacja karty dla użytkowników,
    • Zaprojektuj i sformalizuj proces dyscyplinarny w celu przycinania personelu.
  • Od personelu : Standard zaleca w jak największym stopniu wyjaśnić zasady bezpieczeństwa, które będą miały zastosowanie do pracownika, nawet gdy opuścił firmę.

Rozdział N O 8: Zarządzanie aktywami [[[ modyfikator |. Modyfikator i kod ]

W tym rozdziale odnosi się do aktywów informacyjnych w szerokim znaczeniu terminu jako wsparcia fizycznego.

  • Obowiązki związane z aktywami : Standard zaleca opracowanie zapasów aktywów informacyjnych (ważne elementy pod względem informacji). Następnie radzi określić, dla każdego zasobu, jakie jest jego nominalne zastosowanie.
  • Klasyfikacja informacji : Ta część zaleca informacje o klasyfikacji. Podkreśla to najbardziej wrażliwe zasoby, aby lepiej je chronić.
  • Manipulowanie wspornikami : Ten środek przypomina, że ​​rozsądnie jest dobrze myśleć o procedurach manipulowania wymiennymi wspornikami. Standard przypomina, że ​​wskazane jest przedstawienie procedury niszczenia lub usuwania danych, gdy usunięte podpory są pod koniec życia.

Rozdział N O 9: Kontrola dostępu [[[ modyfikator |. Modyfikator i kod ]

Celem tej kategorii jest kontrolowanie dostępu do informacji z przetwarzania, informacji i procesów komercyjnych.

Rozdział N O 10: Kryptografia [[[ modyfikator |. Modyfikator i kod ]

Istnieją dwa środki bezpieczeństwa:

  • Polityka szyfrowania : Ta miara zaleca kwantyfikację informacji zgodnie z ich czułością i kwantyfikację wymian, gdy linki nie są uważane za bezpieczne.
  • Kluczowe zarządzanie : Konsekwencje związane z ujawnieniem kluczy lub z ich utratą są takie, że należy je odpowiednio chronić. Procedury muszą być poprawnie sformalizowane.

Rozdział N O 11: Bezpieczeństwo fizyczne i środowiskowe [[[ modyfikator |. Modyfikator i kod ]

  • Miara bezpieczeństwa pomieszczeń maszynowych i innych lokali w organizacji To jest :
    • Pokoju maszynowe muszą być zaprojektowane w zasadach sztuki,
    • Fizyczna kontrola dostępu musi zakazać dostępu do każdej nieautoryzowanej osoby,
    • Ochrona przed klęskami żywiołowymi, przed złośliwymi atakami, a także przed wypadkami.
  • Bezpieczeństwo sprzętu :
    • Usługi ogólne muszą być wykorzystywane zgodnie ze specyfikacjami producenta. Okablowanie sieciowe musi być zainstalowane, aby trudno było przechwycić przepływy,
    • Sprzęt musi być regularnie przechowywany, aby zapobiec awarii i zapewnić odpowiednie procedury w celu punktacji, pod koniec życia,
    • Sprzęt pozostawiony bez opieki musi być chroniony, a stacje robocze muszą być automatycznie zablokowane.

Rozdział N O 12: Bezpieczeństwo powiązane z operacjami [[[ modyfikator |. Modyfikator i kod ]

W tym rozdziale dotyczy wielu obszarów, w których najważniejsze są:

  • Dokumentacja procedur operacyjnych : Standard zaleca dokumentowanie procedur operacyjnych, a także zachowanie, które należy zachować w przypadku błędu.
  • Zarządzanie zmianami : Ten środek polega na planowaniu zmian, ocenie ryzyka i zapewnianiu procedur wdrażania. Polegają również na dostarczeniu problemu, weryfikując, że wszyscy zaangażowani aktorzy są poinformowani i że różni urzędnicy wyrazili zgodę na zmianę.
  • Wymianie systemu : Należy podjąć środki, aby zagwarantować pojemność leczenia IS. Należy również zweryfikować, czy nowe urządzenia nie będą zużywać zbyt wielu zasobów i monitorują obciążenie systemu oraz usunąć sprzęt i dane, które stały się bezużyteczne.
  • Oddzielenie środowisk : Ta miara polega na wyraźnym oddzieleniu środowisk produkcyjnych i programistycznych. Ten standard zaleca, aby nie umieszczał poufnych informacji w podstawach testowych.
  • Ochrona przed złośliwymi kodami : Standard wysoce zaleca wdrożenie antywirusa, aby zapobiec atakom złośliwym kodeksem.
  • Kopie zapasowe : Standard udziela porad dotyczących kopii zapasowych i nalega, aby testy cateringowe muszą być okresowo wykonywane, aby zapewnić skuteczność procesów tworzenia kopii zapasowych.
  • Dziennikarstwo : Standard zaleca podróż, które zdarzenia uznały za najbardziej istotne. Radzi również chronić gazety administracyjne. Nadzór działalności administratorów.
  • Zarządzanie podatnością techniczną : Środek ten polega na ustanowieniu zegarka podatności i stosowania w odpowiednim okresie dowolnej korygności, która byłaby konieczna.

Rozdział N O 13: Bezpieczeństwo komunikacji [[[ modyfikator |. Modyfikator i kod ]

Ten rozdział dotyczy środków bezpieczeństwa sieci.

  • Bezpieczeństwo usług : Ten środek zaleca określ jednostkę, która zapewnia usługi sieciowe właściwości usługi renderowanej. Dotyczy to między innymi pojemności sieci, ich systemu ciągłości usług, ale także dodatkowych usług, takich jak filtrowanie, szyfrowanie …
  • Partycje sieciowe : Zalecane jest partycjonowanie różnych obszarów sieciowych (stacja robocza, serwery, DMZ itp.).
  • Transfer informacji : Zaleca się dokonywanie uzgodnień technicznych i organizacyjnych w celu zabezpieczenia wymiany informacji. Jeden z środków zaleca, aby pracownicy nie przeprowadzili poufnych rozmów w miejscach publicznych. Kolejny środek wywołuje środki ostrożności, które należy podjąć w wiadomościach elektronicznych.
  • Umowa o poufności : Wskazane jest zobowiązanie do poufności.

Rozdział N O 14: Pozyskiwanie, rozwój i utrzymanie systemów informatycznych [[[ modyfikator |. Modyfikator i kod ]

Uzgodniono, że środki w celu zapewnienia bezpieczeństwa usług sieciowych. Środki bezpieczeństwa zalecają ochronę transakcji przed niepełnymi błędami i zabiegami. Jeśli chodzi o zmiany zastosowania, standard przypomina podstawowe miary (przykład: dokonywanie czasopism technicznych po zmianach).

Rozdział N O 15: Relacje z dostawcami [[[ modyfikator |. Modyfikator i kod ]

Jest to jeden z najważniejszych punktów w standardzie.

  • Stosunki z dostawcami : Wskazane jest napisanie polityki bezpieczeństwa dla dostawców, wstawienie artykułów związanych z bezpieczeństwem SI w umowach, aby dostawcy byli zaangażowani w tę dziedzinę.
  • Zarządzanie usługami : Dostawca musi być w stanie przedstawić dowód, że szanuje swoje zobowiązania pod względem bezpieczeństwa.

Rozdział N O 16: Zarządzanie incydentami bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]

W tym rozdziale przywołuje wszystkie środki związane z zarządzaniem incydentami bezpieczeństwa informacji.

  • Raporty z incydentów : Standardem jest zachęcanie użytkowników jest zgłoszenie każdego incydentu.
  • Wady związane z bezpieczeństwem : Wskazane jest bezzwłoczne wskazanie wszelkiej podatności, która zostałaby wykryta.
  • Uznanie wydarzeń i podejmowanie decyzji : Standard zaleca ustalenie kryteriów oceny nasilenia, a tym samym podjęcia odpowiednich środków.
  • Naucz się incydentów : Aby poprawić proces zarządzania incydentami, zaleca się zorganizowanie informacji zwrotnych w celu zrozumienia przyczyn incydentów.
  • Dowód : Bardzo ważne jest niezawodne zebranie dowodów w przypadku postępowania sądowego.

Rozdział N O 17: aspekty bezpieczeństwa informacji w zarządzaniu ciągłością aktywności [[[ modyfikator |. Modyfikator i kod ]

Zaleca się przeprowadzenie planu ciągłości (PCA) lub odzyskiwania (PRA), który należy przetestować i zaktualizować. Ponadto w tym rozdziale wspomina, że ​​katastrofa nie uzasadnia ignorowania bezpieczeństwa (kontrola dostępu, poufne szyfrowanie danych, ochrona danych osobowych).

Rozdział N O 18: Zgodność [[[ modyfikator |. Modyfikator i kod ]

Wskazane jest zidentyfikowanie przepisów dotyczących obowiązujących w kraju, w którym znajduje się organizacja. Teksty mogą sformułować wymagania dotyczące bezpieczeństwa systemów informatycznych, które organizacja musi szanować w ramach kary postępowania sądowego lub kar umownych. Standard zaprasza również organizacje do skonfigurowania procesu zarządzania licencjami, a także urządzeń, aby uniknąć nielegalnej instalacji oprogramowania. Ponadto standard dotyczy ochrony danych osobowych i kryptografii, które należy stosować zgodnie z lokalnymi przepisami. Druga część rozdziału przedstawia środki bezpieczeństwa, które zalecają regularne kontrolowanie SI z technicznego i organizacyjnego punktu widzenia.

  • Organizacja : Ten standard przynosi pozytywny obraz akcjonariuszom, gdy firma ma tendencję do kontroli swojego ryzyka, aby zmaksymalizować swoje zyski.
  • Zgodność : Standard nalega na potrzebę identyfikacji wszystkich przepisów i przepisów dotyczących spółki oraz wdrożenie odpowiednich procesów w celu identyfikacji i przestrzegania obowiązków umożliwia udowodnienie, że woli zgodności, która ma tendencję do zmniejszenia grzywien niezgodności.
  • Zarządzanie ryzykiem : Standard nalega w swoich rozdziałach wprowadzających do potrzeby okresowego przeprowadzenia analizy ryzyka i definiuje w polach „Polityka bezpieczeństwa” i „Organizacja bezpieczeństwa” praktyki, które należy wdrożyć w celu zarządzania ryzykiem podkreślonym przez analizę ryzyka. Umożliwia to lepszą wiedzę na temat ryzyka, a tym samym lepszego alokacji zasobów w celu poprawy niezawodności systemu.
  • Finanse : Powiązanie lepszej kontroli ryzyka, lepszego zarządzania incydentami i lepszym alokacją zasobów, wdrożenie SMSI oparte na standardach ISO 27001 i 27002 umożliwia lepszą kontrolę kosztów bezpieczeństwa informacji D Hystems D ‘.
  • Wiarygodność i zaufanie : Wdrożenie polityki bezpieczeństwa i powiązanych środków daje uspokajający obraz dla partnerów i klientów, w szczególności na temat ochrony danych osobowych (bardzo medialny przedmiot z zespołem „Wielkiego Brata”).
  • Zasoby ludzkie : Opieranie się na standardzie umożliwia lepsze przekazywanie komunikatów świadomości, szczególnie wśród populacji technicznych.
  • Przewodnik referencyjny bezpieczeństwa SI : Przedstaw pełną panoramę środków bezpieczeństwa, które można wdrożyć w celu bezpiecznego IS (funkcja Pierwszy Odnośnie ).
  • Pomoc we wdrażaniu środków bezpieczeństwa : Szczegóły każdej miary bezpieczeństwa. Wiele sugestii ułatwiających wdrażanie środków.
  • Przetargi : Powszechnie używane do pisania klauzul bezpieczeństwa w przetargach.
  • Zasady bezpieczeństwa : Wiele zasad bezpieczeństwa jest zgodnych z planem ISO 27002. Pozwala to nie mieć nic, aby zapomnieć o niczym w polityce.
  • Repozytorium audytu : Standard jest szeroko stosowany do weryfikacji praktyk bezpieczeństwa. Podczas audytów dokonują przeglądu środków bezpieczeństwa i sprawdzają, mierzą według środka, w jaki sposób są one wdrażane w audyt.
  • Porównania : To repozytorium jest szeroko stosowane do porównania poziomu bezpieczeństwa różnych podmiotów. Audyt spółek zależnych w porównaniu z repozytorium (przegląd bezpieczeństwa).
  • Pomóc wdrożeniu ISO 27001 : Standard ISO 27002 jest uzupełnieniem standardu ISO 27001. Służy do konkretnego spadku miar bezpieczeństwa w systemie.
Australia/Nowa Zelandia AS/NZS ISO/IEC 27002: 2006
Brazylia ISO/IEC NBR 17799/2007 – 27002
Republika Czeska Čsn ISO/IEC 27002: 2006
Dania DS484: 2005
Estonia EVS-ISO/IEC 17799: 2003, 2005
Japonia Tylko Q 27002
Włochy Uni ce Cei en ISO IEC 27002
Litwa LST ISO/IEC 17799: 2005
Holandia NEN-ISO/IEC 17799: 2002 NL, 2005
Pologs PN-ISO/IEC 17799: 2007, na podstawie ISO/IEC 17799: 2005
Peru NTP-ISO/IEC 17799: 2007
Afryka Południowa Bez 17799: 2005
Hiszpania 71501
Szwecja SS 627799
Türkiye TS ISO/IEC 27002
Zjednoczone Królestwo BS ISO/IEC 27002: 2005
Urugwaj Jednostka/ISO 17799: 2005
Rosja GOST/R ISO MEK 17799-2005
Chiny GB/T 22081-2008V

Powiązane artykuły [[[ modyfikator |. Modyfikator i kod ]

Linki zewnętrzne [[[ modyfikator |. Modyfikator i kod ]

after-content-x4