Стандарти в информационната сигурност

11 Март 2011г.

I Панел: Планиране и внедряване на Система за управление на сигурността на информацията (СУСИ)
Решението за внедряване на СУСИ – определяне на целите и необходимите за постигане на резултати процеси
Внедряване на СУСИ, оценка на рисковете - рискът не може да се елиминира на 100% -може само да се сведе до приемливи граници
Обучение, разработване на документация, вътрешна проверка на системата - реални ли са очакванията с постигнатите резултати?

II Панел: Сертификация - етапи
 Избор на сертифицираща организация – компанията, на която й предстои да се сертифицира, трябва да се интересува от това къде е акредитирана сертифициращата организация
 Акредитация на органите за сертификация на СУСИ – доклко е компетентна и правно регламентирана организацията, която сертифицира
 Етапи на сертифициране по ISO 27 001 и ISO 20 000
 Сертификация – крайната проверка, преглед на документация и прилагане изискванията на стандарта, деклариране на съответствие от органа за сертификация
 Как да се определи обхватът на сертификация – възможно е той да обхваща или част, или всички процеси (дейности)?
 Разходът за внедряване, консултации, сертификация – финансовият и човешки ресурс

III Панел: Одит и ползи от стандартизацията
 От кой се извършва и колко време отнема одита?
 Договаряне, планиране и подготовка на одит - комптетентност на одиторите, продължителност, безпристрастност, конфликт на интереси (напр. консултации)
 Предимства на стандартизацията и сертификацията – гъвкавост, доверие...
 Стандартите се приемат и впоследствие редактират по тежка процедура, защото се цели баланс на интересите на всички заинтересовани страни.
 Сертификатът е доказателство за установено от трета, независима страна съответствие с даден стандарт.