Kad tiems kas planuoja save paskirti informacijos saugumo valdymui nereikėtų vargintis ir ieškoti kokius gi standartus reikėtų žinoti, nusprendžiau pasidalinti svarbiausių šios srities standartų sąrašiuku:
1. ISO/IEC 27001
ISO 27001 standartas yra laikomas pagrindiniu informacijos saugumo standartu, kadangi aprašo Informacijos saugumo valdymo sistemos (ISVS) kūrimo ir valdymo pagrindus. (beje tai vienintelis informacijos saugumo standartas kuriam galima sertifikuotis).
2. ISO/IEC 27002
ISO/IEC 27002 (anksčiau buvęs ISO/IEC 17799) standartas detaliau aprašo kaip turėtų būti įgyvendintos kontrolės priemonės. (iš esmės yra skirtas standarto ISO 27001 „DO“ fazės įgyvendinimui).
3. ISO/IEC 27003
ISO/IEC 27003:2010 orientuojasi į kritinius aspektus būtinus sėkmingam ISVS sukūrimui ir įgyvendinimui atsižvelgiant į ISO/IEC 27001:2005.
4. ISO/IEC 27004
ISO/IEC 27004:2009 aprašo kaip reikėtų įvertinti ISVS efektyvumą.
5. ISO/IEC 27005
ISO/IEC 27005 aprašo informacijos rizikų vertinimo ir valdymo metodus. (labai naudingas ISO 27001 Planavimo fazėje).
6. BS 7858:2006+A2:2009
BS 7858:2006 + Pakeitimas 2:2009 yra pagrindinis standartas aprašantis kaip įvertinti (screeninti) darbuotojus prieš juos įdarbinat.
7. BS 25999-1
BS 25999-1 pateikia rekomendacijas kaip įgyvendinti kiekvieną veiklos tęstinumo elementą.
8. BS 25999-2
The BS 25999-2 standartas laikomas esminiu veiklos tęstinumo standartu, kadangi jis aprašo Veiklos tęstinumo valdymo sistemos (VTVS) kūrimo ir valdymo pagrindus. Šis standartas labai naudingas ISO 27001 „DO“ fazės metu, įgyvendinant A priedo 14 skyriaus reikalavimus – veiklos tęstinumo valdymas (beje tai vienintelis veiklos tęstinumo standartas kuriam galima sertifikuotis).
9. ISO/IEC 24762:2008
ISO/IEC 24762:2008 standartas pateikia rekomendacijas Informacinių ir telekomunikacijų technologijų „Disaster recovery“ (užkrito Lietuviškas pavadinimas :)), kaip daliai veiklos tęstinumo valdymo.
10. BS 25777:2008 „Information and communications technology continuity management – Code of practice“.
11. PD 25111:2010
PD 25111:2010 pateikia rekomendacijas kaip valdyti žmogiškuosius resursus. Suvaldyti inicidento sukeltus efektus, valdyti žmones veiklos atstatymo fazėje ir atstačius veiklos procesus.
12. PD 25666:2010
PD 25666:2010 pateikia rekomendacijas kaip atlikti veiklos tęstinumo ir nenumatytu situacijų planų bandymus ir pan.
13. NIST SP 800-55
NIST SP 800-55 aprašo kaip įvertinti kontrolės priemonių efektyvumą.
14. NIST SP 800-61
NIST SP 800-61 aprašo incidentų valdymą, kaip daly informacijos saugumo valdymo.
15. Business Continuity Institute GPG2008-2 (Good Practice Guidelines)
SECTION 1 BCM POLICY & PROGRAMME MANAGEMENT
SECTION 2 UNDERSTANDING THE ORGANISATION
SECTION 3 DETERMINING BCM STRATEGY
SECTION 4 DEVELOPING AND IMPLEMENTINGA BCM RESPONSE
SECTION 5 EXERCISING, MAINTAINING & REVIEWING BCM ARRANGEMENTS
SECTION 6 EMBEDDING BCM IN THE ORGANISATION’S CULTURE
Leave a Reply