Международният стандарт ISO/IEC 27001 задава модел за изграждане и определя изисквания към системите за управление на сигурността на информацията (СУСИ). Тези системи служат за защита на активите, които боравят с информация и се основават на възприети принципи, цели, политики и на оценки на рисковете, които могат да въздействат неблагоприятно върху бизнеса.
Стандартът се прилага далеч не само и не на първо място от организации с IT профил – почти всяка организация, независимо за какъв бизнес става дума, може да работи с чувствителна информация, засягаща клиентите, партньорите, други заинтересовани страни, а в някои случаи дори и обществото като цяло. Защитите, които се изграждат при внедряване на СУСИ, повишават нивото на сигурност и на първо място са насочени към осигуряване и поддържане на характеристиките поверителност, наличност и цялост на информацията.
Когато една СУСИ е изградена, поддържана и подобрявана, това създава убедителен потенциал на доверие и спокойствие сред всички страни, с които работи организацията, а след като СУСИ премине успешна сертификационна процедура, сертификатът за съответствие с ISO/IEC 27001 има стойност на категорична и универсална гаранция за системата, представена от сериозен, компетентен и независим орган.
Практиката, а и самият живот подсказват, че не е възможно да бъде постигната абсолютна и постоянна сигурност. Най-съществените ползи от действащите системи за управление на сигурността на информацията е, че те създават нов начин на отношение и мислене за рисковете, че задържат постоянно вниманието фокусирано върху аспектите на сигурността и че включват в действие отработени механизми за превенция срещу заплахи или за реакция на събития и инциденти по начин такъв, че те не могат да се превърнат в рецидив.
Политиките и работните инструменти на СУСИ са базирани на балансирано подбрани и съчетани принципи – например, “защита в дълбочина”, “минимизиране на полето за атака”, “разпределение на отговорностите и правата”, “най-малки привилегии” и други отдавна доказани в практиката, принципи. Въпрос на подходящ за всеки конкретен случай избор е да се определи съставът на принципната основа, върху която ще бъде установена СУСИ.
Придържането към обявените принципи е факторът, който прави системата адекватна, полезна и практично ориентирана към особеностите на бизнес средата, в която действа организацията.
Подготовката за сертификация в голяма степен се изразява в това организацията да “инвентаризира” и провери определените от стандарта доказателства за съответствие с изискванията за сигурност. Сред тях едни от най-важните, но далеч не всички, са:
да са налични и усвоени в практиката задължителните документи и записи;
да са приложени определените мерки за защита и да има данни за тяхната ефикасност;
да са проведени и документирани вътрешни одити за проверка на съответствието, като процедурата и практиките на одитиране са съобразени с общи и специфичните стандарти за одит – ISO 19011, ISO/IEC 27007 и ISO/IEC 27008;
да е проведен и документиран преглед на СУСИ от ръководството;
персоналът на организацията да е обучен и информиран, като информираността за СУСИ засяга по подходящ начин клиенти, партньори, доставчици и други заинтересовани страни