ISO/IEC 27001:2013
beynəlxalq standartı

ISO/IEC 27001:2013 standartı nədir? Vətəndaşların, cəmiyyətin və dövlətin həyatında informasiyanın, informasiya resurslarının və texnologiyalarının rolunun artması informasiya təhlükəsizliyi məsələlərini ön plana çıxarır. İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir.

İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar:

• şəbəkə texnologiyalarının geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr halında birləşməsi;
• informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal internet şəbəkəsinin inkişafı;
• minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin geniş yayılması.

İnformasiya təhlükəsizliyi problemlərinə düzgün yanaşma, informasiya sistemlərinin istifadəçisi və informasiya münasibətində olan subyektlərin, onların maraqlarının aydınlaşdırılmasından başlanır.

İnformasiya təhlükəsizliyinin əsas məqsədi – informasiyanın həyat tsikli proseslərində (yaradılmasında, daşıyıcıya yazılmasında, toplanıb saxlanılmasında, emal olunmasında, istifadəsində və ötürülməsində, arxivləşdirilməsində, məhv edilməsində və s.) onun tamlıq, alçatanlıq və konfidensiallıq xassələrinin tarazlaşdırılmış təmin edilməsidir.

İnformasiyanın həyat tsikli prosesləri müəyyən informasiya sistemində yerinə yetirilir, həmin sistemdə informasiya təhlükəsizliyinin adekvat təmin olunmasını, bunun üçün isə aktual təhlükəsizlik tələblərinin müəyyən olunmasını zəruri edir.

Beynəlxalq Standartlaşdırma Təşkilatı (ISO) və Beynəlxalq Elektrotexnika Komissiyası tərfindən informasiya təhlükəsizliyiyin təmin olunması məsələlərində təşkilatlara kömək etmək məqsədilə ISO 27001 “İnformasiya texnologiyaları − İnformasiya təhlükəsizliyinin idarə edilməsi” adlı standart işlənib.

ISO 27001 standartı informasiya təhlükəsizliyi sistemlərinin sertifikastlaşdırılması üçün nəzərdə tutulub. 2013 -cü ildə ISO 27001-in yeni versiyası nəşr olunub. Bundan başqa standartın strukturu ISO-nun idarəetmə sistemi standartlarının strukturuna uyğunlaşdırılıb ki, bu da ISO/IEC 27001-i idarəemə sisteminin digər standartları ilə (ISO 9001, ISO 14001) inteqrasiyasını asanlaşdırır. Bundan başqa ISO IEC 27001 2013 digər beynəlxalq standartlarla, məsələn ISO 22301 (biznesin fasiləsizliyi) və ISO 20000 (IT xidmətlərinin idarə edilməsi) ilə inteqrasiya oluna bilər.

ISO/IEC 27001:2013 standartı ölçüsündən və fəaliyyət növündən asılı olmayaraq bütün təşkilatlarda tətbiq oluna bilər.

ISO/IEC 27001:2013 standartı nə üçün lazımdır?

ISO/IEC 27001:2013 standartı təhlükəsizlik hadisələrinin baş vermə hallarının qarşısının alınması və ya azaldılması, baş verən təhlükəsizlik hadisələrinin və onların subyektlərinin müəyyən edilməsi, təhlükəsizliklə bağlı məsələlərə cavab reaksiyasının verilməsi, o cümlədən onların təsirinin azaldılması və təhlükəsizlik rejiminin bərpasına nail olmaq.

ISO/IEC 27001 standartına uyğun informasiya təhlükəsizliyi sisteminin işlənilməsi və tətbiqi təşkilata hansı fayda və üstünlükləri təmin edir?

ISO/IEC 27001 standartına uyğun informasiya təhlükəsizliyi sisteminin işlənilməsi və tətbiqi:

• müştəri və digər maraqlı tərəflərinin təşkilata olan inam və etibarının artması;
• daxili və xarici bazarda təşkilatın nüfuzunun artması;
• informasiyanın real təhlükələrdən mühafizəsi üzrə adekvat tədbirlərlərin görülməsi;
• informasiya təhlükəsizliyi ilə bağlı risk və təhlükələrin azaldılması və ya onların qarşısının alınması;
• informasiya təhlükəsizliyi ilə bağlı əməliyyat xərclərinin azalması;
• informasiya təhlükəsizliyi idarəetmə sisteminin fəaliyyətinin yaxşılaşdırılması;
• təşkilatın aktivlərinin effektiv mühafizəsi;
• təşkilatın yerli və xarici tenderlərdə iştirak etmə imkanlarının genişlənməsi kimi fayda və üstünlükləri təmin edir.

ISO/IEC 27001 standartına uyğun informasiya təhlükəsizliyi sisteminin işlənilməsi və tətbiqi üzrə məsləhət xidməti

Keyfiyyət Assosiasiyası olaraq Biz təşkilatlarda ISO/IEC 27001 standartına uyğun informasiya təhlükəsizliyi sisteminin işlənilməsi və tətbiqi mövcud sistemin davamlı olaraq yaxşılaşdırılması, bütövlükdə fəaliyyətin təkmilləşdirilməsi ilə bağlı məsləhət xidməti, eyni zamanda effektiv həll variantlarını təklif edirik.

Biz göstərdiyimiz məsləhət xidmətlərini ISO/IEC 27001 standartıının tələblərinə və mütəxəssislərimizin işlədiyi metodika və prosedurlara uyğun şəkildə həyata keçiririk.

Bizim məsləhət xidməti çərçivəsində istifadə etdiyimiz metod və alətlər təşkilatda biznes proseslərin effektivliyinin artırılmasına, idarəetmənin və təşkilatdaxili əlaqənin yaxşılaşdırılmasına, bütün fəaliyyətlər üzrə geniş izləmə və nəzarət sisteminin qurulmasına kömək edir.

Biz məsləhət layihəsini həya keçirərkən hazırladığımız praktik tövsiyələri təqdim etməklə təşkilatın daxili resurslar hesabına nəzərdə tutulan nəticələrə nail olunmasına, bu prosesə bütün personalın cəlb olunmasına, davamlı yaxşılaşdırma sisteminin formalaşması yolu ilə bütövlükdə təşkilati fəaliyyətin optimallaşdırılmasına çalışırıq.

Bizim məsləhət layihəmiz aşağıdakı mərhələlər üzrə keçirilir:

Mərhələ 1. Təşkilatda diaqnostik auditin və mövcud idarəetmə sisteminin təhlilinin aparılması. ISO/IEC 27001-in tələblərinə uyğun olaraq fəaliyyət planının işlənilməsi.
Mərhələ 2. Təşkilatın rəhbərləri və mütəxəssislərinə ISO/IEC 27001 üzrə təlimin keçirilməsi;
Mərhələ 3. ISO/IEC 27001-in tələblərinə uyğun olaraq zəruri sənədlərin işlənilməsi;
Mərhələ 4. Daxili auditorlara ISO/IEC 27001 və ISO 19011 üzrə təlimlərin keçirilməsi;
Mərhələ 5. ISO/IEC 27001-in tələblərinə uyğun olaraq kompleks daxili auditin keçirilməsi;
Mərhələ 6. Sistemin təhlili və yekun qiymətləndirilməsi. Təşkilatın sertifikatlaşdırma auditinə hazırlanması.

ISO/IEC 27001 standartına uyğun informasiya təhlükəsizliyi sisteminin tətbiqi üzrə məsləhət layihəsi çərçivəsində təşkilatın yerinə yetirməli olduğu fəaliyyətlər:

1. ISO/IEC 27001 -ın tətbiqi üzrə işlərin təşkilinə cavabdeh olan səlahiyyətli şəxsin təyin olunması;
2. ISO/IEC 27001 -ın tətbiqi prosesinə bütün personalın cəlb olunmasının təmin edilməsi;
3. ISO/IEC 27001 -ın tətbiqi planının yerinə yetirilməsinin təmin edilməsi;
4. Məsləhətçinin tövsiyələri nəzərə alınmaqla və təşkilatın korporativ mədəniyyətinə uyğun olaraq informasiya təhlükəsizliyi sisteminin sənədlərinin işlənilməsi;
5.İşlənilmiş sənədlərin və ISO/IEC 27001 -ın tələblərinin təşkilatın cari fəaliyyətində tətbiq olunması.