Na siteu BCS-a nalazi se odliÄan i realan Älanak o ISO 27001 standardu.
Naglasci iz Älanka su na sljedećem:
- ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (“management standard”)
- ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
- ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika odreÄ‘uje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provoÄ‘enje Äak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
- Organizacije same odabiru kontrole koje se odnose na njih
- ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklaÄ‘en s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto Äiste kriptografije ili npr. virtualizaciju)
- UvoÄ‘enje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehniÄkog aspekta informacijske sigurnosti
- Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znaÄi niti garantira informacijsku sigurnost, naprotiv, to samo znaÄi sukladnost sa samim standardom. Prepustimo Äitateljima samima da donesu zakljuÄke vezane uz ovu Äinjenicu.
- ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasniÅ¡tvo nad procesima i informatiÄkom imovinom i svakodnevno promicanje kulture sigurnosti
Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.
ÄŒitav tekst možete u integralnoj verziji proÄitati ovdje.