Translate

понеделник, 27 май 2013 г.

Какво (не как) трябва да направим за да изградим Система за управление на информационната сигурност (СУИС) ?


Практиката ми в проектирането, изграждането, внедряването и одитирането  на СУИС на организации от държавната администрация, индустрията, услугите, банковия сектор, а също, и множеството проведени курсове за обучение по въпросите на информационната сигурност,  ме мотивира да разработя и да започна да публикувам кратки, практически препоръки, свързани с изграждането на СУИС, в съответствие с изискванията на ISO 27001 и препоръките в останалите приложими стандарти от фамилията ISO 27000.

В публикациите ще бъдат предоставени практически препоръки за следните основни въпроси, свързани с информационната сигурност:
- Въведение в информационната сигурност и системите за нейното управление;
- Какво е „обхват на СУИС”? Само подробен Списък на информационните активи на организацията – или има и нещо друго, свързано с оценката на тези активи ?  Какво да направим за да оценим качествено и количествено нашите информационни активи?
- Какво е „оценка и анализ на рисковете към информационните активи”?  Какво трябва да направим за да бъдат нашите оценки и анализи реалистични?
- Какво е „противодействие на рисковете към информационните активи”?  Какво трябва да направим за да намалим рисковете към нашите информационни активи  и/или последствията от тяхната реализация?
- Какво, по същество означава „СУИС” (не като съкращение)? Какво управляваме с тази система (отговора не е „информационната сигурност”)? След като управляваме, можем ли да въздействаме на заплахите към информационната сигурност и/или на нашите уязвимости / слабости по сигурността? 
- Какво е „документиране на СУИС” ? Какво и защо го документираме?
- Какво от СУИС можем да направим в „домашни условия”?

Надявам се, че тези публикации ще помогнат на всички имащи необходимост и намерения да изграждат СУИС, като им дадат практическа информация за  това, което трябва да извършат.

В препоръките ще бъдат отразени и очакваните промени в изискванията към СУИС, съгласно ISO 27001:2013.

Публикациите ще бъдат налични в този блог и за тях ще има съобщения и във Facebook.

Няма коментари:

Публикуване на коментар