Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu.

Naglasci iz članka su na sljedećem:

1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
4. Organizacije same odabiru kontrole koje se odnose na njih
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Čitav tekst možete u integralnoj verziji pročitati ovdje.