Коли справа доходить до інформаційної безпеки, багато організацій покладаються на різні системи, інструменти та персонал. Але що, якщо, незважаючи на всі зусилля, що докладаються, слабке і неефективне керівництво заважає досягти основної мети? Саме для виправлення таких ситуацій в 2020 році було переглянуто Міжнародний стандарт щодо управління інформаційною безпекою IS /IEC 27014.

Стандарт ISO/IEC 27014:2020 містить керівні принципи для організацій, які повинні впевнено взяти на себе управління своєю інформаційною безпекою. Розглянемо, зокрема, створення програм навчання і призначення менеджерів, відповідальних за застосування цього управління на всіх рівнях. Основна мета цього завдання – узгодити систему управління інформаційною безпекою з бізнес-стратегією і цілями, створити додану вартість для керівництва та інших зацікавлених сторін, а також забезпечити інвентаризацію інформаційних ризиків.

Слід звернути увагу на шість принципів управління відповідно до ISО/IEC 27014: 2020:

  • Принцип 1 — впровадити інформаційну безпеку в масштабах всієї організації;
  • Принцип 2 — застосовувати підхід, заснований на оцінці ризиків, в процесах прийняття рішень;
  • Принцип 3 — визначити механізм прийняття інвестиційних рішень;
  • Принцип 4 — забезпечити відповідність внутрішнім і зовнішнім вимогам (комплаєнс-функцію);
  • Принцип 5 — сприяти формуванню культури «безпеки даних»;
  • Принцип 6 — забезпечити відповідність служб безпеки поточним і майбутнім потребам організації.

Нова версія стандарту ISO/IEC 27014: 2020 надає організаціям велику ясність і кращу структуру, ніж попередня версія. Крім того, він містить нову інформацію. Його зміст також ближче до стандарту ISO/IEC 27001:2013. Зокрема, ця еволюція відбивається у виділенні концепцій, цілей і процесів, які є інструментами, за допомогою яких організації зможуть оцінювати, організовувати і контролювати свої системи управління інформаційною безпекою, засновані на змісті ISO/IEC 27001:2013. Нарешті, стандарт ISО/IEC 27014: 2020 ідеально відповідає більш широким вимогам управління організацією.

sic global