ISO/CEI 27002 – Wikipedia
Norme ISO/CEI 27002 jest międzynarodowym standardem dotyczącym bezpieczeństwa informacji, opublikowanego wspólnie w 2005 r. Przez Międzynarodową Organizację Standaryzacji ISO i Międzynarodową Komisję Elektrotechniczną IEC, poprawioną w 2013 r., Która jest tytuł po francusku Technologie informacyjne – Techniki bezpieczeństwa – Kodeks dobrej praktyki do zarządzania bezpieczeństwem informacji . Jest częścią ISO/CEI Suite 27000.
ISO/CEI 27002 to zestaw 114 miar zwanych „najlepszymi praktykami” (dobre praktyki w języku francuskim), które mają być używane przez wszystkich osób odpowiedzialnych za wdrożenie lub utrzymanie informacji o systemie zarządzania bezpieczeństwem (SMSI). Bezpieczeństwo informacji jest zdefiniowane w ramach standardu jako ” Zachowanie poufności, integralności i dostępności informacji ».
Ten standard nie jest obowiązkowy dla firm. Jego szacunek można jednak wymienić w umowie: usługodawca może zatem zobowiązać się do poszanowania znormalizowanych praktyk w swoich stosunkach z klientem.
- W 1995 r. Brytyjski standard „BS 7799”, który został utworzony przez British Standards Institution (BSI), zdefiniowało szczegółowe środki bezpieczeństwa.
- W 1998 r. BSI zobaczył pierwszy dokument w dwóch tomach: BS 7799-1 odpowiadający kodom dobrych praktyk oraz BS 7799-2 odpowiadających specyfikacjom systemu zarządzania bezpieczeństwem informacji (SMSI).
- W 2000 r. Międzynarodowa Organizacja Standaryzacji (ISO) opublikowała standard ISO/CEI 17799: 2000 odpowiadający kodom dobrych praktyk z BS 7799.
- W 2005 r. Opublikowano dwa standardy:
- ISO/CEI 17799: 2005, który przekształca domeny i cele,
- ISO/CEI 27001: 2005, który wprowadza koncepcję SMSI i oferuje możliwość certyfikacji.
- W 2007 r. Standard ISO/CEI 17799: 2005 był przestarzały, został zastąpiony standardem 27002, który podjął swoje niezbędne elementy.
- W 2013 r. Standard został zaktualizowany, a jego tytuł został zmieniony. Przeszła wiele zmian, takich jak:
ISO 27002: 2005 | ISO 27002: 2013 |
---|---|
11 rozdziałów +4 | 14 rozdziałów +4 |
39 celów bezpieczeństwa | 35 celów bezpieczeństwa |
133 Środki bezpieczeństwa | 114 środków bezpieczeństwa |
Wersja międzynarodowego standardu w 2013 r. Umożliwi firmom wszystkich rozmiarów i sektorów z zadowoleniem przyjmować szybką ewolucję i zwiększoną złożoność zarządzania informacjami oraz ciągłe wyzwanie, jakie reprezentuje cyberbezpieczeństwo. Bibliografia uzupełnia standard.
ISO/CEI 27002 jest bardziej kodeksem praktyki, niż realny standard lub formalna specyfikacja, taka jak ISO/CEI 27001. Przedstawia serię kontroli (35 celów kontrolnych), które sugerują uwzględnienie ryzyka bezpieczeństwa informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących informacji dotyczących poufność, uczciwość i aspekty dostępności. Firmy, które przyjmują ISO/CEI 27002, muszą ocenić własne ryzyko bezpieczeństwa informacji i zastosować odpowiednie sterowanie, wykorzystując standard do kierowania firmą. Standard ISO 27002 nie jest standardem w zwykłym tego słowa znaczeniu. Rzeczywiście, nie jest to standard charakteru technicznego, technologicznego lub zorientowanego na produkt lub metodologia oceny sprzętu, takiego jak wspólne kryteria CC/ISO 15408. /CEI 27001 Standard.
Standard nie ustala celów poziomów ani bezpieczeństwa i wycofania w rozdziałach wprowadzających, potrzeba dokonywania okresowych analiz ryzyka, ale nie określa żadnych zobowiązań dotyczących metody oceny ryzyka, dlatego wystarczy wybrać tę, która spełnia potrzeby. Z wyników analizy ryzyka organizacja „rysuje” w różnych sekcjach standardu, które musi wdrożyć, aby zaspokoić jej potrzeby bezpieczeństwa. W 2002 r. Ponad 80 000 firm porównało ten standard na całym świecie.
Standard ISO/CEI 27002 składa się z 18 rozdziałów, z których pierwsze 4 przedstawiają standard, a następujące 14 rozdziałów obejmują zarządzanie bezpieczeństwem zarówno w aspektach strategicznych, jak i w aspektach operacyjnych.
Rozdział N O 1: Champ d’Aolling [[[ modyfikator |. Modyfikator i kod ]
Standard zawiera zalecenia dotyczące zarządzania bezpieczeństwem informacji dla osób odpowiedzialnych za projektowanie, wdrażanie lub utrzymanie bezpieczeństwa.
Rozdział N O 2: Warunki i definicje [[[ modyfikator |. Modyfikator i kod ]
„Bezpieczeństwo informacji” jest wyraźnie zdefiniowane jako „zachowanie poufności, integralności i dostępności informacji”. Te i inne powiązane terminy są zdefiniowane później.
Rozdział N O 3: Struktura tego standardu [[[ modyfikator |. Modyfikator i kod ]
Ta strona wyjaśnia, że standard zawiera cele sterowania.
Rozdział N O 4: Ocena ryzyka i leczenia [[[ modyfikator |. Modyfikator i kod ]
ISO/CEI 27002 obejmuje temat zarządzania ryzykiem. Daje ogólne dyrektywy dotyczące wyboru i zastosowania odpowiednich metod analizy ryzyka bezpieczeństwa informacji; Nie określa konkretnej metody, ponieważ musi być odpowiednia w zależności od kontekstu.
Rozdział N O 5: Zasady bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]
Istnieją dwa środki bezpieczeństwa. Dbają o skład polityk bezpieczeństwa i ich okresowe czasopisma. Jest to kwestia podsumowania punktów artykułów czwartych i pięciu standardów ISO 27001. Następnie ISO 27002 radzi zbliżyć się do każdego obszaru związanego z bezpieczeństwem. Przywołaj każdy rozdział standardu.
Rozdział N O 6: Organizacja bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]
Nie ma szczególnego związku między różnymi miernikami bezpieczeństwa omówionymi w tym rozdziale. Wszystkie są organizacyjne.
- Rozkład ról i obowiązków : Środek zaleca jasne rozdzielanie ról i obowiązków w zakresie bezpieczeństwa. Zgodnie ze standardem można również zidentyfikować menedżerów głównych aktywów.
- Oddzielenie zadań : Standard zaleca oddzielenie zadań, aby zapobiec ryzyku oszustw i/lub nielegalnych modyfikacji. To zalecenie jest bardzo rozpowszechnione w dziedzinie finansowej.
- Stosunki z władzami : Duża liczba organizacji musi mieć stosunki z władzami. Relacje te muszą być sformalizowane i utrzymywane. Władze, z którymi musisz być w kontakcie, różnią się w zależności od działania organizacji.
- Stosunki ze specjalistycznymi grupami roboczymi : Wskazane jest uczestnictwo w profesjonalnych forach zajmujących się problemami bezpieczeństwa. Pozwala to wymieniać doświadczenia i poprawić ogólny poziom bezpieczeństwa.
- Zarządzanie projektem : Standard zaleca integrację bezpieczeństwa z zarządzaniem projektem. Podana porada polega na ocena ryzyka, a następnie zintegrowanie punktów bezpieczeństwa ze wszystkimi.
- Mobilność i teleprac : Ta miara dotyczy problemów mobilności pomimo aspektu technicznego. Środek ten stał się ważny w przypadku opracowywania parków mobilnych (smartfonów, tabletów).
Rozdział N O 7: Bezpieczeństwo zasobów ludzkich [[[ modyfikator |. Modyfikator i kod ]
Istnieje wiele środków bezpieczeństwa, które należy podjąć z personelem przed zatrudnieniem, podczas ich obecności w organizacji, a następnie, kiedy odejdzie:
- Przed zatrudnieniem : Pożądane jest określenie kryteriów wyboru przed zatrudnieniem ogólnych umiejętności i umiejętności bezpieczeństwa niezbędnego dla każdego stanowiska. Ponadto standard zaleca sformalizowanie w umowach o pracę zobowiązania przyszłego pracownika pod względem bezpieczeństwa.
- Podczas umowy : Kierownictwo musi zapewnić, że każdy przyjmuje odpowiednie zachowanie w odniesieniu do bezpieczeństwa informacji.
- Publikacja karty dla użytkowników,
- Zaprojektuj i sformalizuj proces dyscyplinarny w celu przycinania personelu.
- Od personelu : Standard zaleca w jak największym stopniu wyjaśnić zasady bezpieczeństwa, które będą miały zastosowanie do pracownika, nawet gdy opuścił firmę.
Rozdział N O 8: Zarządzanie aktywami [[[ modyfikator |. Modyfikator i kod ]
W tym rozdziale odnosi się do aktywów informacyjnych w szerokim znaczeniu terminu jako wsparcia fizycznego.
- Obowiązki związane z aktywami : Standard zaleca opracowanie zapasów aktywów informacyjnych (ważne elementy pod względem informacji). Następnie radzi określić, dla każdego zasobu, jakie jest jego nominalne zastosowanie.
- Klasyfikacja informacji : Ta część zaleca informacje o klasyfikacji. Podkreśla to najbardziej wrażliwe zasoby, aby lepiej je chronić.
- Manipulowanie wspornikami : Ten środek przypomina, że rozsądnie jest dobrze myśleć o procedurach manipulowania wymiennymi wspornikami. Standard przypomina, że wskazane jest przedstawienie procedury niszczenia lub usuwania danych, gdy usunięte podpory są pod koniec życia.
Rozdział N O 9: Kontrola dostępu [[[ modyfikator |. Modyfikator i kod ]
Celem tej kategorii jest kontrolowanie dostępu do informacji z przetwarzania, informacji i procesów komercyjnych.
Rozdział N O 10: Kryptografia [[[ modyfikator |. Modyfikator i kod ]
Istnieją dwa środki bezpieczeństwa:
- Polityka szyfrowania : Ta miara zaleca kwantyfikację informacji zgodnie z ich czułością i kwantyfikację wymian, gdy linki nie są uważane za bezpieczne.
- Kluczowe zarządzanie : Konsekwencje związane z ujawnieniem kluczy lub z ich utratą są takie, że należy je odpowiednio chronić. Procedury muszą być poprawnie sformalizowane.
Rozdział N O 11: Bezpieczeństwo fizyczne i środowiskowe [[[ modyfikator |. Modyfikator i kod ]
- Miara bezpieczeństwa pomieszczeń maszynowych i innych lokali w organizacji To jest :
- Pokoju maszynowe muszą być zaprojektowane w zasadach sztuki,
- Fizyczna kontrola dostępu musi zakazać dostępu do każdej nieautoryzowanej osoby,
- Ochrona przed klęskami żywiołowymi, przed złośliwymi atakami, a także przed wypadkami.
- Bezpieczeństwo sprzętu :
- Usługi ogólne muszą być wykorzystywane zgodnie ze specyfikacjami producenta. Okablowanie sieciowe musi być zainstalowane, aby trudno było przechwycić przepływy,
- Sprzęt musi być regularnie przechowywany, aby zapobiec awarii i zapewnić odpowiednie procedury w celu punktacji, pod koniec życia,
- Sprzęt pozostawiony bez opieki musi być chroniony, a stacje robocze muszą być automatycznie zablokowane.
Rozdział N O 12: Bezpieczeństwo powiązane z operacjami [[[ modyfikator |. Modyfikator i kod ]
W tym rozdziale dotyczy wielu obszarów, w których najważniejsze są:
- Dokumentacja procedur operacyjnych : Standard zaleca dokumentowanie procedur operacyjnych, a także zachowanie, które należy zachować w przypadku błędu.
- Zarządzanie zmianami : Ten środek polega na planowaniu zmian, ocenie ryzyka i zapewnianiu procedur wdrażania. Polegają również na dostarczeniu problemu, weryfikując, że wszyscy zaangażowani aktorzy są poinformowani i że różni urzędnicy wyrazili zgodę na zmianę.
- Wymianie systemu : Należy podjąć środki, aby zagwarantować pojemność leczenia IS. Należy również zweryfikować, czy nowe urządzenia nie będą zużywać zbyt wielu zasobów i monitorują obciążenie systemu oraz usunąć sprzęt i dane, które stały się bezużyteczne.
- Oddzielenie środowisk : Ta miara polega na wyraźnym oddzieleniu środowisk produkcyjnych i programistycznych. Ten standard zaleca, aby nie umieszczał poufnych informacji w podstawach testowych.
- Ochrona przed złośliwymi kodami : Standard wysoce zaleca wdrożenie antywirusa, aby zapobiec atakom złośliwym kodeksem.
- Kopie zapasowe : Standard udziela porad dotyczących kopii zapasowych i nalega, aby testy cateringowe muszą być okresowo wykonywane, aby zapewnić skuteczność procesów tworzenia kopii zapasowych.
- Dziennikarstwo : Standard zaleca podróż, które zdarzenia uznały za najbardziej istotne. Radzi również chronić gazety administracyjne. Nadzór działalności administratorów.
- Zarządzanie podatnością techniczną : Środek ten polega na ustanowieniu zegarka podatności i stosowania w odpowiednim okresie dowolnej korygności, która byłaby konieczna.
Rozdział N O 13: Bezpieczeństwo komunikacji [[[ modyfikator |. Modyfikator i kod ]
Ten rozdział dotyczy środków bezpieczeństwa sieci.
- Bezpieczeństwo usług : Ten środek zaleca określ jednostkę, która zapewnia usługi sieciowe właściwości usługi renderowanej. Dotyczy to między innymi pojemności sieci, ich systemu ciągłości usług, ale także dodatkowych usług, takich jak filtrowanie, szyfrowanie …
- Partycje sieciowe : Zalecane jest partycjonowanie różnych obszarów sieciowych (stacja robocza, serwery, DMZ itp.).
- Transfer informacji : Zaleca się dokonywanie uzgodnień technicznych i organizacyjnych w celu zabezpieczenia wymiany informacji. Jeden z środków zaleca, aby pracownicy nie przeprowadzili poufnych rozmów w miejscach publicznych. Kolejny środek wywołuje środki ostrożności, które należy podjąć w wiadomościach elektronicznych.
- Umowa o poufności : Wskazane jest zobowiązanie do poufności.
Rozdział N O 14: Pozyskiwanie, rozwój i utrzymanie systemów informatycznych [[[ modyfikator |. Modyfikator i kod ]
Uzgodniono, że środki w celu zapewnienia bezpieczeństwa usług sieciowych. Środki bezpieczeństwa zalecają ochronę transakcji przed niepełnymi błędami i zabiegami. Jeśli chodzi o zmiany zastosowania, standard przypomina podstawowe miary (przykład: dokonywanie czasopism technicznych po zmianach).
Rozdział N O 15: Relacje z dostawcami [[[ modyfikator |. Modyfikator i kod ]
Jest to jeden z najważniejszych punktów w standardzie.
- Stosunki z dostawcami : Wskazane jest napisanie polityki bezpieczeństwa dla dostawców, wstawienie artykułów związanych z bezpieczeństwem SI w umowach, aby dostawcy byli zaangażowani w tę dziedzinę.
- Zarządzanie usługami : Dostawca musi być w stanie przedstawić dowód, że szanuje swoje zobowiązania pod względem bezpieczeństwa.
Rozdział N O 16: Zarządzanie incydentami bezpieczeństwa informacji [[[ modyfikator |. Modyfikator i kod ]
W tym rozdziale przywołuje wszystkie środki związane z zarządzaniem incydentami bezpieczeństwa informacji.
- Raporty z incydentów : Standardem jest zachęcanie użytkowników jest zgłoszenie każdego incydentu.
- Wady związane z bezpieczeństwem : Wskazane jest bezzwłoczne wskazanie wszelkiej podatności, która zostałaby wykryta.
- Uznanie wydarzeń i podejmowanie decyzji : Standard zaleca ustalenie kryteriów oceny nasilenia, a tym samym podjęcia odpowiednich środków.
- Naucz się incydentów : Aby poprawić proces zarządzania incydentami, zaleca się zorganizowanie informacji zwrotnych w celu zrozumienia przyczyn incydentów.
- Dowód : Bardzo ważne jest niezawodne zebranie dowodów w przypadku postępowania sądowego.
Rozdział N O 17: aspekty bezpieczeństwa informacji w zarządzaniu ciągłością aktywności [[[ modyfikator |. Modyfikator i kod ]
Zaleca się przeprowadzenie planu ciągłości (PCA) lub odzyskiwania (PRA), który należy przetestować i zaktualizować. Ponadto w tym rozdziale wspomina, że katastrofa nie uzasadnia ignorowania bezpieczeństwa (kontrola dostępu, poufne szyfrowanie danych, ochrona danych osobowych).
Rozdział N O 18: Zgodność [[[ modyfikator |. Modyfikator i kod ]
Wskazane jest zidentyfikowanie przepisów dotyczących obowiązujących w kraju, w którym znajduje się organizacja. Teksty mogą sformułować wymagania dotyczące bezpieczeństwa systemów informatycznych, które organizacja musi szanować w ramach kary postępowania sądowego lub kar umownych. Standard zaprasza również organizacje do skonfigurowania procesu zarządzania licencjami, a także urządzeń, aby uniknąć nielegalnej instalacji oprogramowania. Ponadto standard dotyczy ochrony danych osobowych i kryptografii, które należy stosować zgodnie z lokalnymi przepisami. Druga część rozdziału przedstawia środki bezpieczeństwa, które zalecają regularne kontrolowanie SI z technicznego i organizacyjnego punktu widzenia.
- Organizacja : Ten standard przynosi pozytywny obraz akcjonariuszom, gdy firma ma tendencję do kontroli swojego ryzyka, aby zmaksymalizować swoje zyski.
- Zgodność : Standard nalega na potrzebę identyfikacji wszystkich przepisów i przepisów dotyczących spółki oraz wdrożenie odpowiednich procesów w celu identyfikacji i przestrzegania obowiązków umożliwia udowodnienie, że woli zgodności, która ma tendencję do zmniejszenia grzywien niezgodności.
- Zarządzanie ryzykiem : Standard nalega w swoich rozdziałach wprowadzających do potrzeby okresowego przeprowadzenia analizy ryzyka i definiuje w polach „Polityka bezpieczeństwa” i „Organizacja bezpieczeństwa” praktyki, które należy wdrożyć w celu zarządzania ryzykiem podkreślonym przez analizę ryzyka. Umożliwia to lepszą wiedzę na temat ryzyka, a tym samym lepszego alokacji zasobów w celu poprawy niezawodności systemu.
- Finanse : Powiązanie lepszej kontroli ryzyka, lepszego zarządzania incydentami i lepszym alokacją zasobów, wdrożenie SMSI oparte na standardach ISO 27001 i 27002 umożliwia lepszą kontrolę kosztów bezpieczeństwa informacji D Hystems D ‘.
- Wiarygodność i zaufanie : Wdrożenie polityki bezpieczeństwa i powiązanych środków daje uspokajający obraz dla partnerów i klientów, w szczególności na temat ochrony danych osobowych (bardzo medialny przedmiot z zespołem „Wielkiego Brata”).
- Zasoby ludzkie : Opieranie się na standardzie umożliwia lepsze przekazywanie komunikatów świadomości, szczególnie wśród populacji technicznych.
- Przewodnik referencyjny bezpieczeństwa SI : Przedstaw pełną panoramę środków bezpieczeństwa, które można wdrożyć w celu bezpiecznego IS (funkcja Pierwszy Odnośnie ).
- Pomoc we wdrażaniu środków bezpieczeństwa : Szczegóły każdej miary bezpieczeństwa. Wiele sugestii ułatwiających wdrażanie środków.
- Przetargi : Powszechnie używane do pisania klauzul bezpieczeństwa w przetargach.
- Zasady bezpieczeństwa : Wiele zasad bezpieczeństwa jest zgodnych z planem ISO 27002. Pozwala to nie mieć nic, aby zapomnieć o niczym w polityce.
- Repozytorium audytu : Standard jest szeroko stosowany do weryfikacji praktyk bezpieczeństwa. Podczas audytów dokonują przeglądu środków bezpieczeństwa i sprawdzają, mierzą według środka, w jaki sposób są one wdrażane w audyt.
- Porównania : To repozytorium jest szeroko stosowane do porównania poziomu bezpieczeństwa różnych podmiotów. Audyt spółek zależnych w porównaniu z repozytorium (przegląd bezpieczeństwa).
- Pomóc wdrożeniu ISO 27001 : Standard ISO 27002 jest uzupełnieniem standardu ISO 27001. Służy do konkretnego spadku miar bezpieczeństwa w systemie.
Australia/Nowa Zelandia | AS/NZS ISO/IEC 27002: 2006 |
Brazylia | ISO/IEC NBR 17799/2007 – 27002 |
Republika Czeska | Čsn ISO/IEC 27002: 2006 |
Dania | DS484: 2005 |
Estonia | EVS-ISO/IEC 17799: 2003, 2005 |
Japonia | Tylko Q 27002 |
Włochy | Uni ce Cei en ISO IEC 27002 |
Litwa | LST ISO/IEC 17799: 2005 |
Holandia | NEN-ISO/IEC 17799: 2002 NL, 2005 |
Pologs | PN-ISO/IEC 17799: 2007, na podstawie ISO/IEC 17799: 2005 |
Peru | NTP-ISO/IEC 17799: 2007 |
Afryka Południowa | Bez 17799: 2005 |
Hiszpania | 71501 |
Szwecja | SS 627799 |
Türkiye | TS ISO/IEC 27002 |
Zjednoczone Królestwo | BS ISO/IEC 27002: 2005 |
Urugwaj | Jednostka/ISO 17799: 2005 |
Rosja | GOST/R ISO MEK 17799-2005 |
Chiny | GB/T 22081-2008V |
Powiązane artykuły [[[ modyfikator |. Modyfikator i kod ]
Linki zewnętrzne [[[ modyfikator |. Modyfikator i kod ]
Recent Comments