Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> การเขียนโปรแกรม

ISO 27001 ในการรักษาความปลอดภัยข้อมูลคืออะไร


ISO 27001 เป็นมาตรฐานสากลที่สนับสนุนกรอบงานสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) เพื่อสนับสนุนการรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูลและการปฏิบัติตามกฎหมายอย่างต่อเนื่อง

การรับรอง ISO 27001 เป็นสิ่งจำเป็นสำหรับการปกป้องทรัพย์สินที่สำคัญที่สุด เช่น ข้อมูลพนักงานและลูกค้า ภาพลักษณ์ของแบรนด์ และข้อมูลส่วนตัวอื่นๆ มาตรฐาน ISO ประกอบด้วยแนวทางตามกระบวนการในการเริ่มต้น ใช้งาน ใช้งาน และคงไว้ซึ่ง ISMS

ISO/IEC 27001 มีข้อกำหนดสำหรับองค์กรที่ต้องการสร้าง นำไปใช้ บำรุงรักษา และยกระดับระบบการจัดการความปลอดภัยของข้อมูลอย่างต่อเนื่อง กรอบนี้ทำหน้าที่เป็นกฎในการตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่อง ซึ่งจะเชื่อถือได้และเพิ่มมูลค่าให้กับบริการขององค์กร

มาตรฐาน ISO 27001 วางจำหน่ายในเดือนตุลาคม 2548 โดยพื้นฐานแล้วใช้แทนมาตรฐาน BS7799-2 แบบเก่า มันเป็นสิ่งจำเป็นสำหรับ ISMS ซึ่งเป็นระบบการจัดการความปลอดภัยของข้อมูล BS7799 เป็นมาตรฐานการยืนยาว ซึ่งมีให้ใช้ในยุคนั้นเป็นครั้งแรกในฐานะโปรแกรมฝึกหัด เมื่อสิ่งนี้พัฒนาขึ้น พื้นที่ที่สองดูเหมือนจะครอบคลุมระบบการจัดการ

วัตถุประสงค์ของมันคือการรับรู้ถึงความจำเป็นในการจัดตั้ง ดำเนินการ ดำเนินการ ตรวจสอบ ตรวจสอบ เก็บรักษา และเสริมสร้าง ISMS ที่เป็นเอกสารภายในบริบทขององค์กรเกี่ยวกับความเสี่ยงทางธุรกิจทั้งหมด

ISO 27001 ปรับปรุงเนื้อหาของ BS7799-2 และประสานงานกับหลายมาตรฐาน ระบบได้รับการผลิตโดยหน่วยรับรองหลายแห่งเพื่อแลกเปลี่ยนจากการรับรอง BS7799 เป็น ISO27001

เป้าหมายของมาตรฐานคือการจัดทำแบบจำลองสำหรับการจัดตั้ง ดำเนินการ ดำเนินการ ตรวจสอบ ตรวจสอบ รักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล ในการรับเลี้ยงบุตรบุญธรรม นี่ต้องเป็นการตัดสินใจเชิงกลยุทธ์ นอกจากนี้ การออกแบบและการใช้งาน ISMS ขององค์กรได้รับผลกระทบจากความต้องการและเป้าหมาย ข้อกำหนดด้านความปลอดภัย กระบวนการที่ใช้ และขนาดและองค์กรขององค์กร

มาตรฐานแสดงถึงเทคนิคกระบวนการเป็นการนำระบบกระบวนการภายในองค์กร ร่วมกับการระบุและการสื่อสารของกระบวนการเหล่านี้และการจัดการ ใช้ PDCA โมเดล Plan-Do-Check-Act เพื่อจัดระเบียบกระบวนการ และปฏิบัติตามค่าที่กำหนดไว้ในทิศทางของ OECG

มาตรฐาน ISO/IEC 27001 กำหนดการใช้งานระบบการจัดการและสนับสนุนองค์กรที่มีข้อกำหนดที่จำเป็นในการสร้างความเสี่ยงด้านความปลอดภัยของข้อมูลภายใต้การควบคุมของผู้ดูแลระบบ

มาตรฐานต้องการกรอบการจัดการความเสี่ยงแบบบูรณาการของนโยบายและขั้นตอนการทำงานที่มีการควบคุมทางกฎหมาย ทางกายภาพและทางเทคนิคทั้งหมดที่รวมอยู่ในกระบวนการจัดการขององค์กร

มาตรฐานนี้ใช้กับบางองค์กร เกี่ยวกับขนาด อุตสาหกรรม หรือประเภทธุรกิจ บริษัทต่างๆ อาจต้องการใบรับรอง ISO/IEC 27001 เพื่ออธิบายความสมบูรณ์ของสภาพแวดล้อมการรักษาความปลอดภัยข้อมูล ปฏิบัติตามภาระผูกพันตามสัญญา หรือได้รับเอกลักษณ์ทางการแข่งขัน