ISO 27001
Bütün növ təşkilatlar öz informasiya təhlükəsizliyin qiymətləndirməli, öz fəaliyyətinə uyğun olaraq nəzarət sistemi formalaşdırmalı, bu sahədə mövcud normalardan və tövsiyələrdən faydalanmalıdır. Bunun üçün ən münasib vasitə ISO 27001 standartıdır.
ISO/IEC 27001:2005 Beynəlxalq Standartı informasiya təhlükəsizliyi sahəsində ən yaxşı təcrübəni göstərən hərtərəfli nəzarət mexanizmini təqdim təqdim edən idarəetmə sistemidir. İnformasiya Təhlükəsizliyi İdarəetmə Sistemi – umimi idarəetmə sisteminin biznes risklər əsasında yaradılmış tətbiq olunan, analiz aparılan, saxlanılan, monitorinq aparılan, inkişaf etdirilən informasiya təhlükəsizliyidir. Standartın əsas məqsədi daimi təkmilləşmə yanaşması əsasında effektiv informasiya menecmenti sistemin yaratmaqdır.
ISO/IEC 27001:2005 bütün növ təşkilatlarda, ticarət və sənayenin müxtəlif sahələrində informasiya sisteminin istifadəsi üçün yeganə nəzarət mexanizmi rolunu oynayır.
ISO/IEC 27001:2005 standartı:
• informasiya təhlükəsizliyi üzrə məqsəd və hədəflərin təyini üçün təşkilatlar tərəfindən istifadə olunur;
• təşkilatlar tərəfindən İnformasiya Təhlükəsizliyi üzrə Riskin effektiv şəkildə idarə olunmasının təminatı kimi istifadə olunur;
• təşkilatlar tərəfindən qanunvericiliyin tələblərinə və normalarına uyğunluğun təsdiqi kimi istifadə olunur;
• informasiya təhlükəsizliyi üzərində nəzarətin idarəolunması və tətbiqi üzrə prosesin formalaşması üçün təşkilatlar tərəfindən istifadə olunur;
• informasiya təhlükəsizliyi üzrə prosesin müəyyən edilməsi və yenidən qurulması məqsədilə istifadə olunur;
• fəaliyyətin statusunun müəyyən edilməsi məqsədilə təşkilatın idarəolunmasında istifadə olunur;
• təşkilatın qəbul etdiyi standartlara, direktivlərə və siyasətə uyğun olub olmaması ilə bağlı daxili və xarici auditorlar tərəfindən istifadə olunur;
• təşkilatlar tərəfindən İnformasiya Təhlükəsizliyi sahəsində siyasət, direktiv, standart və prosedurlarla bağlı ticarət üzrə olan təşkilatlara lazımı məlumatın çatdırılması məqsədilə istifadə olunur;
• İnformasiya təhlükəsizliyi ilə bağlı istehlakçılara lazımı məlumatın verilməsi məqsədilə Təşkilat tərəfindən istifadə olunur.
ISO 27001-in tədbiqi mərhələləri
Standart aşağıdakı mərhələlər üzrə tətbiq edilir:
1. Müəssisə rəhbərliyi tərəfindən standartın tətbiqinə qərar verilməsi və zəruri resursların ayrılması
2. İnformasiya Təhlükəsizliyi Menecmenti Sisteminin əhatə dairəsinin təyin olunması
3. İnformasiya resurslarının və avadanlıqlarının qeydiyyatının aparılması
4. İnformasiya təhlükəsizliyi riskinin qiymətləndirilməsi
5. İnformasiya Təhlükəsizlyinin Menecment Sisteminin (İTMS) tədbiqi proqramının hazırlanması
6. İTMS-nin tədbiqi
7. Uyğunluğun qiymətləndirilməsi
8. Korrektəedici tədbirlərin görülməsi
9. Sertifikatlaşdırma qabağı qiymətləndirmənin aparılması
10. Setifikatlaşdırma auditinin aparılması
ISO 27001 kimlər tərəfindən tədbiq olunur
Bu standart digər menecment sistemi standartları kimi bütün növ müəssisə və təşkilatları tərəfindən tədbiq edilə bilər. Aparılmış araşdırmalar göstərir ki, dünyada bu standart aşağıdakı sahələrdə tədbiq olunur:
• İT xidmətləri
• Telekommunikasiya
• İctimai sektor
• Nəşriyyat xidmətləri
• Səhiyyə xidmətləri
• İstehsal
• Maliyyə xidmətləri
• Tikinti
• Hüquqi xidmətlər və s.
ISO 27001-in səmərələri
ISO 27001-in tədbiqindən müəssisələr aşağıdakı səmərələri əldə edə bilərlər:
• İnformasiyanın təhlükəsizliyliyi risklərinin azaldılması;
• İnformasiya təhlükəsizliyi hadisələrinin baş vermə ehtimalın və təsirlərinin azaldılması;
• İnforasiya Texnologiyaları üzrə effektiv təchizatın və infrastrukturun qurulması;
• İnfromasiya təhlükəsizliyi üzrə riskin düzgün qiymətləndirilməsi
• İnformasiyanın qorunması sahəsində daxili və xarici xərclərinin azaldılması;
• Rəqibləri informasiya təhlükəsizliyi sahəsində üstələmək imkanı və beləliklə rəqabəti udma ehtimalının artması;
• İnformasiyanın məxviliyinin və təhlükəsizlyinin zəmanətin yaranması səbəbəbilə müəssiyə inamın artması və tərədaşlarla və təchizatçılarla etibarlı əlaqələrin qurulması
• Müştərilər və tərəfdaşlar qarşısında inamın artması səbəbilə gəlirlərin artması;
• Şirkətlərarası əməliyyatlarda qarşılıqlı əlaqələrin daha təhlükəsiz təşkili;
• İnformasiya təhlükəsizliyi sahəsində qanunvericiliyin tələblərinə daha düzgün riayət edilməsi və yoxlamaların sayının azaldılmas;
• İşçilərin informasiya təhlükəsizliyi sahəsində biliklərinin və bacarıqlarının artırılması;
• Müəssisədə daimi təkmilləşmənin təmin olunması və s.
Bütün növ təşkilatlar öz informasiya təhlükəsizliyin qiymətləndirməli, öz fəaliyyətinə uyğun olaraq nəzarət sistemi formalaşdırmalı, bu sahədə mövcud normalardan və tövsiyələrdən faydalanmalıdır. Bunun üçün ən münasib vasitə ISO 27001 standartıdır.
ISO/IEC 27001:2005 Beynəlxalq Standartı informasiya təhlükəsizliyi sahəsində ən yaxşı təcrübəni göstərən hərtərəfli nəzarət mexanizmini təqdim təqdim edən idarəetmə sistemidir. İnformasiya Təhlükəsizliyi İdarəetmə Sistemi – umimi idarəetmə sisteminin biznes risklər əsasında yaradılmış tətbiq olunan, analiz aparılan, saxlanılan, monitorinq aparılan, inkişaf etdirilən informasiya təhlükəsizliyidir. Standartın əsas məqsədi daimi təkmilləşmə yanaşması əsasında effektiv informasiya menecmenti sistemin yaratmaqdır.
ISO/IEC 27001:2005 bütün növ təşkilatlarda, ticarət və sənayenin müxtəlif sahələrində informasiya sisteminin istifadəsi üçün yeganə nəzarət mexanizmi rolunu oynayır.
ISO/IEC 27001:2005 standartı:
• informasiya təhlükəsizliyi üzrə məqsəd və hədəflərin təyini üçün təşkilatlar tərəfindən istifadə olunur;
• təşkilatlar tərəfindən İnformasiya Təhlükəsizliyi üzrə Riskin effektiv şəkildə idarə olunmasının təminatı kimi istifadə olunur;
• təşkilatlar tərəfindən qanunvericiliyin tələblərinə və normalarına uyğunluğun təsdiqi kimi istifadə olunur;
• informasiya təhlükəsizliyi üzərində nəzarətin idarəolunması və tətbiqi üzrə prosesin formalaşması üçün təşkilatlar tərəfindən istifadə olunur;
• informasiya təhlükəsizliyi üzrə prosesin müəyyən edilməsi və yenidən qurulması məqsədilə istifadə olunur;
• fəaliyyətin statusunun müəyyən edilməsi məqsədilə təşkilatın idarəolunmasında istifadə olunur;
• təşkilatın qəbul etdiyi standartlara, direktivlərə və siyasətə uyğun olub olmaması ilə bağlı daxili və xarici auditorlar tərəfindən istifadə olunur;
• təşkilatlar tərəfindən İnformasiya Təhlükəsizliyi sahəsində siyasət, direktiv, standart və prosedurlarla bağlı ticarət üzrə olan təşkilatlara lazımı məlumatın çatdırılması məqsədilə istifadə olunur;
• İnformasiya təhlükəsizliyi ilə bağlı istehlakçılara lazımı məlumatın verilməsi məqsədilə Təşkilat tərəfindən istifadə olunur.
ISO 27001-in tədbiqi mərhələləri
Standart aşağıdakı mərhələlər üzrə tətbiq edilir:
1. Müəssisə rəhbərliyi tərəfindən standartın tətbiqinə qərar verilməsi və zəruri resursların ayrılması
2. İnformasiya Təhlükəsizliyi Menecmenti Sisteminin əhatə dairəsinin təyin olunması
3. İnformasiya resurslarının və avadanlıqlarının qeydiyyatının aparılması
4. İnformasiya təhlükəsizliyi riskinin qiymətləndirilməsi
5. İnformasiya Təhlükəsizlyinin Menecment Sisteminin (İTMS) tədbiqi proqramının hazırlanması
6. İTMS-nin tədbiqi
7. Uyğunluğun qiymətləndirilməsi
8. Korrektəedici tədbirlərin görülməsi
9. Sertifikatlaşdırma qabağı qiymətləndirmənin aparılması
10. Setifikatlaşdırma auditinin aparılması
ISO 27001 kimlər tərəfindən tədbiq olunur
Bu standart digər menecment sistemi standartları kimi bütün növ müəssisə və təşkilatları tərəfindən tədbiq edilə bilər. Aparılmış araşdırmalar göstərir ki, dünyada bu standart aşağıdakı sahələrdə tədbiq olunur:
• İT xidmətləri
• Telekommunikasiya
• İctimai sektor
• Nəşriyyat xidmətləri
• Səhiyyə xidmətləri
• İstehsal
• Maliyyə xidmətləri
• Tikinti
• Hüquqi xidmətlər və s.
ISO 27001-in səmərələri
ISO 27001-in tədbiqindən müəssisələr aşağıdakı səmərələri əldə edə bilərlər:
• İnformasiyanın təhlükəsizliyliyi risklərinin azaldılması;
• İnformasiya təhlükəsizliyi hadisələrinin baş vermə ehtimalın və təsirlərinin azaldılması;
• İnforasiya Texnologiyaları üzrə effektiv təchizatın və infrastrukturun qurulması;
• İnfromasiya təhlükəsizliyi üzrə riskin düzgün qiymətləndirilməsi
• İnformasiyanın qorunması sahəsində daxili və xarici xərclərinin azaldılması;
• Rəqibləri informasiya təhlükəsizliyi sahəsində üstələmək imkanı və beləliklə rəqabəti udma ehtimalının artması;
• İnformasiyanın məxviliyinin və təhlükəsizlyinin zəmanətin yaranması səbəbəbilə müəssiyə inamın artması və tərədaşlarla və təchizatçılarla etibarlı əlaqələrin qurulması
• Müştərilər və tərəfdaşlar qarşısında inamın artması səbəbilə gəlirlərin artması;
• Şirkətlərarası əməliyyatlarda qarşılıqlı əlaqələrin daha təhlükəsiz təşkili;
• İnformasiya təhlükəsizliyi sahəsində qanunvericiliyin tələblərinə daha düzgün riayət edilməsi və yoxlamaların sayının azaldılmas;
• İşçilərin informasiya təhlükəsizliyi sahəsində biliklərinin və bacarıqlarının artırılması;
• Müəssisədə daimi təkmilləşmənin təmin olunması və s.
ISO 27001