บ้าน การพัฒนาตนเอง มาตรฐานอังกฤษทั้งหมด bs 1842 pdf สิ่งพิมพ์ออนไลน์เกี่ยวกับเทคโนโลยีชั้นสูง

มาตรฐานอังกฤษทั้งหมด bs 1842 pdf สิ่งพิมพ์ออนไลน์เกี่ยวกับเทคโนโลยีชั้นสูง

การจัดการความต่อเนื่องทางธุรกิจ (BCM) เป็นกระบวนการการจัดการแบบองค์รวมที่ระบุภัยคุกคามที่อาจเกิดขึ้นต่อองค์กร และกำหนดผลกระทบที่อาจเกิดขึ้นต่อการดำเนินธุรกิจหากภัยคุกคามเหล่านั้นเกิดขึ้นจริง และสร้างพื้นฐานสำหรับการรับรองความสามารถขององค์กรในการกู้คืนและตอบสนองต่อเหตุการณ์อย่างมีประสิทธิผล จึงทำให้มั่นใจได้ว่า ผลประโยชน์ที่ได้รับ ผู้มีส่วนได้ส่วนเสียหลัก การรักษาชื่อเสียง แบรนด์ และกิจกรรมมูลค่าเพิ่ม DSA รวมถึงการจัดการการกู้คืนและการดำเนินการต่อ กิจกรรมทางเศรษฐกิจในกรณีที่เกิดการหยุดชะงักทางธุรกิจ และการจัดการโปรแกรมความต่อเนื่องทางธุรกิจโดยรวมผ่านการฝึกอบรม แบบฝึกหัด และการวิเคราะห์ เพื่อให้แผนความต่อเนื่องทางธุรกิจเป็นปัจจุบันอยู่เสมอ

BS 25999-1:2006 การจัดการความต่อเนื่องทางธุรกิจ - ส่วนที่ 1: กฎง่ายๆ»

BS 25999-1:2006 กำหนดกระบวนการ หลักการ และคำศัพท์เฉพาะสำหรับการจัดการความต่อเนื่องทางธุรกิจ โดยเป็นพื้นฐานสำหรับการทำความเข้าใจ การออกแบบ และการนำระบบความต่อเนื่องทางธุรกิจไปใช้ภายในองค์กร และการสร้างความมั่นใจให้กับลูกค้าและคู่ค้าในความน่าเชื่อถือ มาตรฐานนี้อธิบายชุดกลไกการควบคุมที่ครอบคลุมและครอบคลุมทั้งหมด วงจรชีวิตกระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจ ได้รับการพัฒนาโดยผู้ปฏิบัติงานจากชุมชนทั่วโลก โดยอิงตามแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม และเหมาะสำหรับองค์กรทุกประเภทและทุกขนาด

BS 25999-2:2007 "การจัดการความต่อเนื่องทางธุรกิจ - ส่วนที่ 2: ข้อกำหนด"

ในขณะที่ส่วนแรกของมาตรฐาน (BS 25999-1:2006) ประกอบด้วย คำแนะนำทั่วไปเกี่ยวกับการจัดการความต่อเนื่องทางธุรกิจ ส่วนที่สองกำหนดข้อกำหนดสำหรับระบบการจัดการความต่อเนื่องทางธุรกิจ และเฉพาะข้อกำหนดที่สามารถตรวจสอบได้อย่างเป็นกลางเท่านั้น การใช้ข้อกำหนดเหล่านี้ บริษัทต่างๆ สามารถประเมินได้ ระบบที่มีอยู่การจัดการความต่อเนื่องทางธุรกิจทั้งอิสระและเกี่ยวข้องกับที่ปรึกษาภายนอก ตามส่วนที่สองของมาตรฐาน หน่วยรับรองจะออกข้อสรุปเกี่ยวกับการปฏิบัติตามระบบการจัดการความต่อเนื่องทางธุรกิจตามข้อกำหนดของมาตรฐาน BS 25999

BS 25777:2008 "การจัดการความต่อเนื่องของเทคโนโลยีสารสนเทศและการสื่อสาร - กฎการปฏิบัติ"

มาตรฐานอังกฤษ BS 25777 ได้รับการพัฒนาจากมาตรฐานความต่อเนื่องทางธุรกิจที่มีอยู่ BS 25999 และข้อกำหนดสาธารณะเสริม PAS 77 ซึ่งสรุปสิ่งที่ดีที่สุด การปฏิบัติของโลกในด้านการสร้างความมั่นใจในความต่อเนื่องของการบริการด้านไอที

การจัดการความต่อเนื่องของ ICT ช่วยให้มั่นใจถึงความมีชีวิตที่จำเป็นของเทคโนโลยีและบริการสารสนเทศและการสื่อสาร และความสามารถในการคืนค่าให้อยู่ในระดับที่กำหนดไว้ล่วงหน้าภายในกรอบเวลาที่กำหนด โดยตกลงกับฝ่ายบริหารขององค์กร การจัดการความต่อเนื่องทางธุรกิจที่มีประสิทธิผลขึ้นอยู่กับการจัดการความต่อเนื่องของ ICT เพื่อให้มั่นใจว่าองค์กรสามารถบรรลุวัตถุประสงค์ได้ตลอดเวลา โดยเฉพาะอย่างยิ่งในช่วงเวลาที่เกิดการเปลี่ยนแปลง

BS 25777 ครอบคลุมประเด็นต่างๆ เช่น:

ควบคุม ซอฟต์แวร์ความต่อเนื่องของไอซีที
ฝังหลักการจัดการความต่อเนื่องของ ICT เข้าไปในวัฒนธรรมองค์กร
การจัดทำเอกสารระบบการจัดการความต่อเนื่องของ ICT
การกำหนดข้อกำหนดด้านความต่อเนื่องของ ICT
การพัฒนาและการดำเนินการตามกลยุทธ์ความต่อเนื่องของ ICT
พัฒนาและทดสอบแผนความต่อเนื่องด้าน ICT
จัดทำแบบฝึกหัดฟื้นฟูบริการ ICT
การบำรุงรักษา การวิเคราะห์ และปรับปรุงระบบการจัดการความต่อเนื่องของ ICT
และอื่น ๆ.

PAS 77:2006 "การจัดการความต่อเนื่องของบริการไอที"

คู่มือการจัดการความต่อเนื่องของบริการไอทีจะอธิบายหลักการและแนวทางปฏิบัติที่แนะนำบางประการสำหรับการจัดการความต่อเนื่องของบริการไอที มีจุดประสงค์เพื่อใช้โดยบุคคลที่รับผิดชอบในการนำไปใช้ ส่งมอบ และจัดการความต่อเนื่องของบริการไอทีในองค์กร

คำแนะนำนี้มีจุดมุ่งหมายเพื่อเสริม (ไม่ใช่แทนที่) สิ่งตีพิมพ์อื่นๆ ในหัวข้อดังกล่าว เช่น PAS 56, BS ISO/IEC 20000, BS ISO/IEC 17799:2005 และ ISO 9001 ไม่ควรถือเป็นการดำเนินการทีละขั้นตอน คำแนะนำกระบวนการจัดการความต่อเนื่องของบริการไอที แต่เป็นแนวทางบางประการของ ITSCM ที่องค์กรควรพิจารณาเมื่อลงทุนในด้านนี้

หนึ่งในมาตรฐานสากลฉบับแรกๆ สำหรับการจัดการความปลอดภัยของข้อมูล - มาตรฐานอังกฤษ BS 7799 - ได้ก้าวข้ามขอบเขตระดับชาติมายาวนาน ส่วนแรก BS 7799-1 “กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล” ได้รับการพัฒนาในปี 1995 ตามคำสั่งของรัฐบาลอังกฤษโดย British Standards Institution ( อังกฤษมาตรฐานสถาบัน (บีเอสไอ) นำแสดงโดย องค์กรการค้า, เช่น เปลือก, ระดับชาติเวสต์มินสเตอร์ธนาคาร, มิดแลนด์ธนาคาร, ยูนิลีเวอร์, อังกฤษโทรคมนาคม, เครื่องหมาย & สเปนเซอร์, ลอจิก้าและอื่น ๆ.

ตามชื่อที่แนะนำเอกสารนี้คือ คู่มือการปฏิบัติเกี่ยวกับการจัดการความปลอดภัยของข้อมูลในองค์กรโดยไม่คำนึงถึงโปรไฟล์ของกิจกรรมการปฏิบัติ อธิบาย 10 ประเด็นและกลไกการควบคุม 127 กลไกที่จำเป็นในการสร้างระบบการจัดการความปลอดภัยของข้อมูล ซึ่งกำหนดไว้บนพื้นฐาน ตัวอย่างที่ดีที่สุดจากการปฏิบัติทางโลก

ตามมาตรฐานนี้บริการรักษาความปลอดภัยใดๆ มัน– ฝ่ายบริหารของแผนกและบริษัทจะต้องเริ่มทำงานตามระเบียบทั่วไป ไม่สำคัญหรอก เรากำลังพูดถึงเรื่องการป้องกันเอกสารกระดาษหรือข้อมูลอิเล็กทรอนิกส์

ในปี 1998 ส่วนที่สองของมาตรฐานอังกฤษนี้ปรากฏขึ้น - BS7799-2 "ระบบการจัดการความปลอดภัยของข้อมูล Specification and Application Guide" ซึ่งกำหนดรูปแบบทั่วไปสำหรับการสร้างระบบการจัดการความปลอดภัยของข้อมูลและชุดของ ข้อกำหนดบังคับเพื่อการปฏิบัติตามที่ต้องดำเนินการรับรอง ด้วยการมาถึงของส่วนที่สองของ BS 7799 ซึ่งกำหนดว่าระบบการจัดการความปลอดภัยของข้อมูลควรเป็นอย่างไร การพัฒนาระบบการรับรองในด้านการจัดการความปลอดภัยก็เริ่มขึ้น ในปี 1999 ทั้งสองส่วนของ BS7799 ได้รับการแก้ไขและสอดคล้องกับมาตรฐานระบบการจัดการระหว่างประเทศ ISO 9001 และ ISO 14001 ในอีกหนึ่งปีต่อมา คณะกรรมการด้านเทคนิค ISO ยอมรับ BS 7799-1 โดยไม่มีการเปลี่ยนแปลงเป็น มาตรฐานสากล ISO/IEC 17799:2000.

ส่วนที่สองของ BS 7799 ได้รับการแก้ไขในปี 2545 และเมื่อปลายปี 2548 ISO ก็ได้นำมาใช้เป็นมาตรฐานสากล ISO/IEC 27001:2005 " เทคโนโลยีสารสนเทศ- วิธีการรักษาความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด " ในเวลาเดียวกัน ส่วนแรกของมาตรฐานได้รับการปรับปรุง ด้วยการเปิดตัว ISO 27001 ข้อมูลจำเพาะของระบบการจัดการความปลอดภัยของข้อมูลได้กลายเป็น สถานะระหว่างประเทศและตอนนี้เราควรคาดหวังว่าบทบาทและศักดิ์ศรีของระบบการจัดการความปลอดภัยของข้อมูลที่ได้รับการรับรอง ISO 27001 จะเพิ่มขึ้นอย่างมีนัยสำคัญ

มาตรฐานการจัดการความปลอดภัยระดับสากลตระกูล 2700x ยังคงพัฒนาอย่างรวดเร็ว ตามแผน ISO จะรวมถึง:

มาตรฐานที่กำหนดข้อกำหนดสำหรับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

ระบบบริหารความเสี่ยง

การวัดและการวัดประสิทธิผลของกลไกการควบคุม

คู่มือการใช้งาน มาตรฐานตระกูลนี้จะใช้รูปแบบการกำหนดหมายเลขตามลำดับตั้งแต่ 27000 เป็นต้นไป ISO/IEC 17799:2005 จะถูกเปลี่ยนชื่อเป็น ISO/IEC 27002 ในภายหลัง

เมื่อต้นปี พ.ศ. 2549 ได้มีการนำมาตรฐานแห่งชาติอังกฤษใหม่ในด้านการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล BS 7799-3 ซึ่งต่อมาได้รับดัชนี 27005

ปัจจุบันเป็นมาตรฐานอังกฤษ บี.เอส. 7799 ได้รับการสนับสนุนใน 27 ประเทศต่างๆ ทั่วโลก ได้แก่ ประเทศในเครือจักรภพอังกฤษ สวีเดน เนเธอร์แลนด์ และรัสเซีย

อย่างไรก็ตามควรสังเกตเนื้อหาต้นฉบับของมาตรฐานด้วย บี.เอส. 7799, ซึ่งยังคงใช้อยู่ในหลายประเทศ

ประกอบด้วยสองส่วน

ประเด็นความปลอดภัยของข้อมูลต่อไปนี้ได้รับการกำหนดและพิจารณา:

นโยบายความปลอดภัย

องค์กรคุ้มครอง

การจำแนกประเภทและการจัดการทรัพยากรสารสนเทศ

การบริหารงานบุคคล

ความปลอดภัยทางกายภาพ.

การบริหาร ระบบคอมพิวเตอร์และเครือข่าย

การควบคุมการเข้าถึงระบบ

การพัฒนาและบำรุงรักษาระบบ

การวางแผนการดำเนินงานขององค์กรให้ราบรื่น

การตรวจสอบระบบว่าสอดคล้องกับข้อกำหนดด้านความปลอดภัยของข้อมูล

"ส่วนที่ 2: ข้อมูลจำเพาะของระบบ" (1998)

ด้านที่ระบุไว้ใน “ ส่วนที่ 1” ได้รับการพิจารณาในส่วนนี้จากมุมมองของการรับรองระบบสารสนเทศเพื่อให้เป็นไปตามข้อกำหนดของมาตรฐาน

ข้อมูลจำเพาะด้านการทำงานที่เป็นไปได้มีการกำหนดไว้ที่นี่ ระบบองค์กรการจัดการความปลอดภัยของข้อมูลจากมุมมองของการตรวจสอบการปฏิบัติตามข้อกำหนดในส่วนแรกของมาตรฐานนี้ ตามบทบัญญัติของมาตรฐานนี้ด้วย ขั้นตอนการตรวจสอบข้อมูลระบบองค์กร

คำแนะนำเพิ่มเติมสำหรับการจัดการความปลอดภัยของข้อมูลมีให้โดยแนวทางของ British Standards Institution - อังกฤษมาตรฐานสถาบัน(บีเอสไอ) http:// www. บีซี- ทั่วโลก. ดอทคอม/ ซึ่งเผยแพร่ในระหว่างงวด 1995-2003 ก.ก. ดังซีรีย์ต่อไปนี้:

ข้อมูลเบื้องต้นเกี่ยวกับการจัดการความปลอดภัยของข้อมูล – ข้อมูลความปลอดภัยการจัดการ: หนึ่งการแนะนำ.

ความเป็นไปได้ของการรับรองตามข้อกำหนดของมาตรฐาน บี.เอส. 7799 - การจัดเตรียมสำหรับบี.เอส. 7799 การรับรอง.

การจัดการ บี 7799เรื่องการประเมินและการจัดการความเสี่ยง - คำแนะนำเกี่ยวกับการประเมินความเสี่ยงและความเสี่ยง BS 7799การจัดการ

คุณพร้อมสำหรับการตรวจสอบเพื่อให้เป็นไปตามข้อกำหนดมาตรฐานแล้วหรือยัง? บี.เอส. 7799- เป็นคุณพร้อมสำหรับกบี.เอส. 7799 การตรวจสอบ?

คำแนะนำในการดำเนินการตรวจสอบตามข้อกำหนดของมาตรฐาน - บี.เอส. 7799 แนะนำถึงบี.เอส. 7799 การตรวจสอบ.

ปัจจุบันประเด็นทั่วไปเกี่ยวกับการจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัทและองค์กรต่างๆ ตลอดจนการพัฒนาระบบตรวจสอบความปลอดภัยให้เป็นไปตามข้อกำหนดของมาตรฐาน บี.เอส. 7799 จัดการโดยคณะกรรมการระหว่างประเทศ ข้อต่อเทคนิคคณะกรรมการไอเอสโอ/ ไออีซีเจทีซี 1 ร่วมกับสถาบันมาตรฐานอังกฤษ - อังกฤษมาตรฐานสถาบัน(บีเอสไอ) – (www. บีซี- ทั่วโลก. ดอทคอม), และโดยเฉพาะการบริการ ยูเคเอส (ยูไนเต็ดราชอาณาจักรได้รับการรับรองบริการ). บริการที่ระบุชื่อจะรับรององค์กรสำหรับสิทธิ์ในการตรวจสอบความปลอดภัยของข้อมูลตามมาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000) . ใบรับรองที่ออกโดยหน่วยงานเหล่านี้ได้รับการยอมรับในหลายประเทศ โปรดทราบว่าหากบริษัทได้รับการรับรองตามมาตรฐาน ไอเอสโอ 9001 หรือ ไอเอสโอ 9002 มาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000) อนุญาตให้มีการรับรองระบบรวม ความปลอดภัยของข้อมูลพร้อมใบรับรองการปฏิบัติตามมาตรฐาน ไอเอสโอ 9001 หรือ ไอเอสโอ/9002 ทั้งในระยะเริ่มแรกและระหว่าง ควบคุมการตรวจสอบ. ในการทำเช่นนี้จำเป็นต้องปฏิบัติตามเงื่อนไขของการมีส่วนร่วมในการรับรองรวมของผู้ตรวจสอบบัญชีที่ลงทะเบียนตามมาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000). ในเวลาเดียวกัน แผนการทดสอบร่วมควรระบุขั้นตอนในการตรวจสอบระบบความปลอดภัยของข้อมูลอย่างชัดเจน และหน่วยงานผู้รับรองควรตรวจสอบให้แน่ใจว่าการตรวจสอบความปลอดภัยของข้อมูลนั้นละเอียดถี่ถ้วน

หนึ่งในมาตรฐานสากลฉบับแรกๆ สำหรับการจัดการความปลอดภัยของข้อมูล - มาตรฐานอังกฤษ BS 7799 - ได้ก้าวข้ามขอบเขตระดับชาติมายาวนาน ส่วนแรก BS 7799-1 “กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล” ได้รับการพัฒนาในปี 1995 ตามคำสั่งของรัฐบาลอังกฤษโดย British Standards Institution ( อังกฤษมาตรฐานสถาบัน (บีเอสไอ) ด้วยการมีส่วนร่วมขององค์กรการค้าเช่น เปลือก, ระดับชาติเวสต์มินสเตอร์ธนาคาร, มิดแลนด์ธนาคาร, ยูนิลีเวอร์, อังกฤษโทรคมนาคม, เครื่องหมาย & สเปนเซอร์, ลอจิก้าและอื่น ๆ.

ตามชื่อที่แนะนำ เอกสารนี้เป็นแนวทางปฏิบัติในการจัดการความปลอดภัยของข้อมูลในองค์กร โดยไม่คำนึงถึงโปรไฟล์ของกิจกรรมเชิงปฏิบัติ โดยจะอธิบาย 10 ประเด็นและการควบคุม 127 รายการที่จำเป็นในการสร้างระบบการจัดการความปลอดภัยของข้อมูล ซึ่งระบุตามแนวทางปฏิบัติที่ดีที่สุดจากทั่วโลก

ตามมาตรฐานนี้บริการรักษาความปลอดภัยใดๆ มัน– ฝ่ายบริหารของแผนกและบริษัทจะต้องเริ่มทำงานตามระเบียบทั่วไป ไม่สำคัญว่าเรากำลังพูดถึงการปกป้องเอกสารกระดาษหรือข้อมูลอิเล็กทรอนิกส์

ในปี 1998 ส่วนที่สองของมาตรฐานอังกฤษนี้ปรากฏขึ้น - BS7799-2 "ระบบการจัดการความปลอดภัยของข้อมูล คู่มือข้อกำหนดและการใช้งาน” ซึ่งกำหนดรูปแบบทั่วไปสำหรับการสร้างระบบการจัดการความปลอดภัยของข้อมูลและชุดข้อกำหนดบังคับสำหรับการปฏิบัติตามการรับรองที่ต้องดำเนินการ ด้วยการมาถึงของส่วนที่สองของ BS 7799 ซึ่งกำหนดว่าระบบการจัดการความปลอดภัยของข้อมูลควรเป็นอย่างไร การพัฒนาระบบการรับรองในด้านการจัดการความปลอดภัยก็เริ่มขึ้น ในปี 1999 ทั้งสองส่วนของ BS7799 ได้รับการแก้ไขและสอดคล้องกับมาตรฐานระบบการจัดการระหว่างประเทศ ISO 9001 และ ISO 14001 ในอีกหนึ่งปีต่อมา คณะกรรมการด้านเทคนิคของไอเอสโอได้นำ BS 7799-1 มาใช้โดยไม่มีการเปลี่ยนแปลงใดๆ เป็นมาตรฐานสากล ISO/IEC 17799:2000

ส่วนที่สองของ BS 7799 ได้รับการแก้ไขในปี พ.ศ. 2545 และในปลายปี พ.ศ. 2548 ISO ก็ได้นำมาใช้เป็นมาตรฐานสากล ISO/IEC 27001:2005 "เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด" ในเวลาเดียวกัน ส่วนแรกของมาตรฐานได้รับการปรับปรุง ด้วยการเปิดตัว ISO 27001 ข้อมูลจำเพาะของระบบการจัดการความปลอดภัยของข้อมูลได้รับสถานะระดับสากล และตอนนี้เราสามารถคาดหวังการเพิ่มขึ้นอย่างมากในบทบาทและศักดิ์ศรีของระบบการจัดการความปลอดภัยของข้อมูลที่ได้รับการรับรองตามมาตรฐาน ISO 27001

ระบบบริหารความเสี่ยง

การวัดและการวัดประสิทธิผลของกลไกการควบคุม

ประกอบด้วยสองส่วน

ประเด็นความปลอดภัยของข้อมูลต่อไปนี้ได้รับการกำหนดและพิจารณา:

นโยบายความปลอดภัย

องค์กรคุ้มครอง

การจำแนกประเภทและการจัดการทรัพยากรสารสนเทศ

การบริหารงานบุคคล

ความปลอดภัยทางกายภาพ.

การบริหารระบบคอมพิวเตอร์และเครือข่าย

การควบคุมการเข้าถึงระบบ

การพัฒนาและบำรุงรักษาระบบ

การวางแผนการดำเนินงานขององค์กรให้ราบรื่น

การตรวจสอบระบบว่าสอดคล้องกับข้อกำหนดด้านความปลอดภัยของข้อมูล

"ส่วนที่ 2: ข้อมูลจำเพาะของระบบ" (1998)

ในที่นี้จะกำหนดข้อกำหนดการทำงานที่เป็นไปได้ของระบบการจัดการความปลอดภัยของข้อมูลองค์กรจากมุมมองของ

ในแง่ของการตรวจสอบการปฏิบัติตามข้อกำหนดในส่วนที่หนึ่งของมาตรฐานนี้ ตามบทบัญญัติของมาตรฐานนี้ด้วย ขั้นตอนการตรวจสอบข้อมูลระบบองค์กร

ปัจจุบันประเด็นทั่วไปเกี่ยวกับการจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัทและองค์กรต่างๆ ตลอดจนการพัฒนาระบบตรวจสอบความปลอดภัยให้เป็นไปตามข้อกำหนดของมาตรฐาน บี.เอส. 7799 จัดการโดยคณะกรรมการระหว่างประเทศ ข้อต่อเทคนิคคณะกรรมการไอเอสโอ/ ไออีซีเจทีซี 1 ร่วมกับสถาบันมาตรฐานอังกฤษ - อังกฤษมาตรฐานสถาบัน(บีเอสไอ) – (www. บีซี- ทั่วโลก. ดอทคอม), และโดยเฉพาะการบริการ ยูเคเอส (ยูไนเต็ดราชอาณาจักรได้รับการรับรองบริการ). บริการที่ระบุชื่อจะรับรององค์กรสำหรับสิทธิ์ในการตรวจสอบความปลอดภัยของข้อมูลตามมาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000) . ใบรับรองที่ออกโดยหน่วยงานเหล่านี้ได้รับการยอมรับในหลายประเทศ โปรดทราบว่าหากบริษัทได้รับการรับรองตามมาตรฐาน ไอเอสโอ 9001 หรือ ไอเอสโอ 9002 มาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000) อนุญาตให้รวมการรับรองระบบความปลอดภัยของข้อมูลเข้ากับการรับรองการปฏิบัติตามมาตรฐาน ไอเอสโอ 9001 หรือ ไอเอสโอ/9002 ทั้งในระยะเริ่มแรกและระหว่างการตรวจสอบการควบคุม ในการทำเช่นนี้จำเป็นต้องปฏิบัติตามเงื่อนไขของการมีส่วนร่วมในการรับรองรวมของผู้ตรวจสอบบัญชีที่ลงทะเบียนตามมาตรฐาน บี.เอส.ไอเอสโอ/ ไออีซี 7799:2000 (บี.เอส. 7799-1:2000). ในเวลาเดียวกัน แผนการทดสอบร่วมควรระบุขั้นตอนในการตรวจสอบระบบความปลอดภัยของข้อมูลอย่างชัดเจน และหน่วยงานผู้รับรองควรตรวจสอบให้แน่ใจว่าการตรวจสอบความปลอดภัยของข้อมูลนั้นละเอียดถี่ถ้วน

British BS 7799 ซึ่งเป็นต้นกำเนิดของมาตรฐานการจัดการความปลอดภัยข้อมูลระดับสากล ได้ก้าวข้ามขีดจำกัดของประเทศมายาวนาน ส่วนแรก BS 7799-1 ได้รับการพัฒนาในปี 1995 ตามคำสั่งของรัฐบาลสหราชอาณาจักร เมื่อต้นปี 2549 อังกฤษได้เปิดตัวมาตรฐานใหม่ในด้านการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล - BS 7799-3 ซึ่งจะได้รับดัชนี 27005 ในภายหลัง

การจัดการมีหลายด้าน: การผลิต การเงิน การขาย การจัดซื้อ บุคลากร ฯลฯ ขอบคุณการพัฒนาธุรกิจเทคโนโลยีขั้นสูงที่ทันสมัย ความสำคัญของพื้นที่เช่นเทคโนโลยีสารสนเทศ ความปลอดภัยของข้อมูล คุณภาพและ สิ่งแวดล้อม. สิ่งนี้เห็นได้จากความนิยมที่เพิ่มขึ้นทั่วโลกของมาตรฐานสากลที่สอดคล้องกันของซีรี่ส์ ISO 2700x, ISO 2000x, ISO 900x และ ISO 1400x หลักการพื้นฐานของการจัดการโดยส่วนใหญ่แล้วจะเหมือนกันในทุกด้าน ดังนั้นระบบการจัดการที่เกี่ยวข้องจึงเสริมซึ่งกันและกัน ก่อให้เกิดระบบการจัดการแบบบูรณาการขององค์กร (IMS) เป็นการยากที่จะประเมินค่าสูงไปการมีส่วนร่วมของ British Standards Institute (BSI) ในการพัฒนามาตรฐานสากลสำหรับการจัดการองค์กร รวมถึงระบบการจัดการแบบบูรณาการ ซึ่งเป็นหัวข้อของสิ่งพิมพ์ชุด BSIBIP 2000

หลังจากการเผยแพร่ ISO 9001 และระบบการจัดการคุณภาพอย่างกว้างขวาง มาตรฐานการจัดการความปลอดภัยของข้อมูลระหว่างประเทศ - ISO/IEC 27001/17799 - ได้เริ่มหยั่งรากในรัสเซียในที่สุด สิ่งเหล่านี้มีให้บริการในภาษารัสเซีย การอภิปรายสาธารณะได้เริ่มต้นขึ้นเกี่ยวกับร่างมาตรฐานความปลอดภัยข้อมูลระดับชาติที่เกี่ยวข้อง GOST R ISO/IEC 27001 และ GOST R ISO/IEC 17799 และบริการออกใบรับรองกำลังค่อยๆ แพร่หลายมากขึ้น

ต้นกำเนิดของมาตรฐานสากลสำหรับการจัดการความปลอดภัยของข้อมูลคือมาตรฐานอังกฤษ BS 7799 ส่วนแรก BS 7799-1 “กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล” ได้รับการพัฒนาโดย BSI ในปี 1995 ตามคำร้องขอของรัฐบาลสหราชอาณาจักร ตามชื่อเรื่อง เอกสารนี้เป็นแนวทางปฏิบัติในการจัดการความปลอดภัยของข้อมูลในองค์กร โดยอธิบาย 10 ประเด็นและการควบคุม 127 รายการที่จำเป็นในการสร้าง ISMS โดยระบุตามแนวทางปฏิบัติที่ดีที่สุดจากทั่วโลก ในปี 1998 ส่วนที่สองของมาตรฐานอังกฤษนี้ปรากฏขึ้น - BS 7799-2 "ระบบการจัดการความปลอดภัยของข้อมูล คู่มือข้อกำหนดและการใช้งาน” ซึ่งกำหนดรูปแบบทั่วไปสำหรับการสร้าง ISMS และชุดข้อกำหนดบังคับสำหรับการปฏิบัติตามใบรับรองที่ต้องดำเนินการ ด้วยการมาถึงของส่วนที่สองของ BS 7799 ซึ่งกำหนดว่า ISMS ควรเป็นอย่างไร การพัฒนาระบบการรับรองในด้านการจัดการความปลอดภัยจึงเริ่มขึ้น ในปี 1999 ทั้งสองส่วนของ BS 7799 ได้รับการแก้ไขและทำให้สอดคล้องกับมาตรฐานระบบการจัดการระหว่างประเทศ ISO 9001 และ ISO 14001 และอีกหนึ่งปีต่อมา คณะกรรมการด้านเทคนิคของ ISO ได้นำ BS 7799-1 มาใช้โดยไม่มีการเปลี่ยนแปลงเป็นมาตรฐานสากล ISO/IEC 17799:2000

ส่วนที่สองของ BS 7799 ได้รับการแก้ไขในปี 2545 และเมื่อปลายปี 2548 ISO ก็ได้นำมาใช้เป็นมาตรฐานสากล ISO/IEC 27001:2005 เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด ในเวลาเดียวกัน ส่วนแรกของมาตรฐานได้รับการปรับปรุง ด้วยการเปิดตัว ISO 27001 ข้อมูลจำเพาะของ ISMS ได้รับสถานะระดับสากล และตอนนี้เราสามารถคาดหวังการเพิ่มขึ้นอย่างมากในบทบาทและศักดิ์ศรีของ ISMS ที่ได้รับการรับรอง ISO 27001

มาตรฐานการจัดการความปลอดภัยระดับสากลตระกูล 2700x ยังคงพัฒนาอย่างรวดเร็ว ตามแผน ISO จะรวมถึงมาตรฐานที่กำหนดข้อกำหนดสำหรับ ISMS ระบบการจัดการความเสี่ยง ตัวชี้วัดและการวัดประสิทธิผลของการควบคุม ตลอดจนแนวทางการดำเนินงาน มาตรฐานตระกูลนี้จะใช้รูปแบบการกำหนดหมายเลขตามลำดับตั้งแต่ 27000 เป็นต้นไป ISO/IEC 17799:2005 จะถูกเปลี่ยนชื่อเป็น ISO/IEC 27002 ในเวลาต่อมา ร่างมาตรฐาน ISO/IEC 27000 ยังอยู่ในระหว่างการพัฒนา ซึ่งจะประกอบด้วยหลักการและคำจำกัดความพื้นฐาน และจะรวมเข้ากับมาตรฐานการจัดการไอทียอดนิยม: COBIT และ ITIL

เมื่อต้นปี พ.ศ. 2549 ได้มีการนำมาตรฐานแห่งชาติอังกฤษใหม่ในด้านการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล BS 7799-3 ซึ่งต่อมาจะได้รับดัชนี 27005 งานยังอยู่ในระหว่างดำเนินการเกี่ยวกับมาตรฐานสำหรับการดำเนินการและการวัดประสิทธิภาพของ ISMS ซึ่งจะได้รับดัชนี 27003 และ 27004 ตามลำดับ มีการวางแผนประเด็นมาตรฐานสากลเหล่านี้สำหรับปี 2550

ประวัติของบี 7799

จากข้อมูลของกลุ่มผู้ใช้ ISMS ที่ดูแลการลงทะเบียนใบรับรองระหว่างประเทศ ณ เดือนสิงหาคม พ.ศ. 2549 มีองค์กรมากกว่า 2,800 องค์กรจาก 66 ประเทศที่ได้รับการรับรองมาตรฐาน ISO 27001 (BS 7799) รวมถึงสี่องค์กร บริษัท รัสเซีย. ในบรรดาองค์กรที่ได้รับการรับรอง ได้แก่บริษัทไอที ธนาคาร และบริษัทที่ใหญ่ที่สุด ภาคการเงินวิสาหกิจในภาคเชื้อเพลิงและพลังงานและภาคโทรคมนาคม คาดว่าจำนวนผู้ถือใบรับรองในรัสเซียในปี 2550 จะสูงถึงหลายสิบราย

7799/17799/27001: ข้อดีข้อเสีย

BS 7799 ค่อยๆ กลายเป็น "มาตรฐานความปลอดภัยของข้อมูลหลัก" อย่างไรก็ตาม เมื่อ ISO หารือเกี่ยวกับมาตรฐานสากล ISO 17799 ฉบับพิมพ์ครั้งแรกในเดือนสิงหาคม พ.ศ. 2543 ฉันทามติจึงเป็นเรื่องยากที่จะบรรลุผลสำเร็จ เอกสารดังกล่าวทำให้เกิดการวิพากษ์วิจารณ์อย่างมากจากตัวแทนของผู้มีอำนาจด้านไอทีชั้นนำ ซึ่งแย้งว่าเอกสารดังกล่าวไม่เป็นไปตามเกณฑ์พื้นฐานสำหรับมาตรฐานสากล

“ไม่มีทางที่จะเปรียบเทียบเอกสารนี้กับงานด้านความปลอดภัยอื่นๆ ที่เคยตรวจสอบโดย ISO” Gene Troy ตัวแทนของสหรัฐอเมริกาในคณะกรรมการด้านเทคนิคของ ISO กล่าว

หลายประเทศ รวมทั้งสหรัฐอเมริกา แคนาดา ฝรั่งเศส และเยอรมนี คัดค้านการนำ ISO 17799 มาใช้ ในความเห็นของพวกเขา เอกสารนี้สามารถใช้เป็นชุดคำแนะนำได้ แต่ไม่ใช่มาตรฐาน ในสหรัฐอเมริกาและประเทศในยุโรป ก่อนปี 2000 มีการทำงานจำนวนมากเพื่อสร้างมาตรฐานความปลอดภัยของข้อมูล “การรักษาความปลอดภัยด้านไอทีมีหลายวิธีที่แตกต่างกัน เราเชื่อว่าการที่จะได้มาตรฐานสากลที่เป็นที่ยอมรับอย่างแท้จริง ควรได้รับการยอมรับให้พิจารณาทั้งหมด แทนที่จะรับเอกสารฉบับใดฉบับหนึ่งแล้วรีบตกลงกัน ทรอยบอกกับยีนว่า “มาตรฐานความปลอดภัยระดับปรมาจารย์ถูกนำเสนอเป็นสิ่งที่สำเร็จแล้ว และไม่มีทางที่จะต่อยอดงานอื่นๆ ที่ทำในพื้นที่นี้ได้”

ตัวแทนของ BSI โต้แย้งว่างานที่เป็นปัญหาเกี่ยวข้องกับด้านเทคนิคเป็นหลัก และ BS 7799 ไม่เคยถูกพิจารณาว่าเป็นมาตรฐานทางเทคนิค ไม่เหมือนกับมาตรฐานความปลอดภัยอื่นๆ เช่น Commonly Accepted Security Practices and Regulations (CASPR) หรือ ISO 15408/Common Criteria มาตรฐานนี้จะกำหนดแง่มุมพื้นฐานที่ไม่ใช่ทางเทคนิคในการปกป้องข้อมูลที่นำเสนอในรูปแบบใดๆ “มันควรจะเป็นเช่นนี้เพราะมันมีไว้สำหรับองค์กรทุกประเภทและสภาพแวดล้อมภายนอก” Steve Tyler โฆษกของ BSI กล่าว “มันเป็นเอกสารการจัดการความปลอดภัยของข้อมูลไม่ใช่แคตตาล็อกของผลิตภัณฑ์ไอที”

แม้จะมีการคัดค้านทั้งหมด แต่อำนาจของ BSI (ซึ่งเป็นผู้ก่อตั้ง ISO ซึ่งเป็นผู้พัฒนามาตรฐานสากลหลักและหน่วยรับรองหลักของโลก) ก็มีอำนาจเหนือกว่า มีการเปิดตัวขั้นตอนการอนุมัติแบบเร่งด่วน และมาตรฐานก็ถูกนำมาใช้ในไม่ช้า

ข้อได้เปรียบหลักของ ISO 17799 คือความยืดหยุ่นและความอเนกประสงค์ ชุดแนวทางปฏิบัติที่ดีที่สุดที่อธิบายไว้ในนี้สามารถใช้ได้กับเกือบทุกองค์กร โดยไม่คำนึงถึงความเป็นเจ้าของ ประเภทของกิจกรรม ขนาด และเงื่อนไขภายนอก มีความเป็นกลางทางเทคโนโลยีและมักปล่อยให้มีทางเลือกในการเลือกเทคโนโลยีเสมอ

เมื่อมีคำถามเกิดขึ้น: “จะเริ่มต้นจากตรงไหน”, “จะจัดการความปลอดภัยของข้อมูลได้อย่างไร”, “ควรตรวจสอบตามเกณฑ์ใด” — มาตรฐานนี้จะช่วยกำหนดทิศทางที่ถูกต้องและไม่ละสายตาจากจุดสำคัญ นอกจากนี้ยังสามารถใช้เป็นแหล่งข้อมูลที่เชื่อถือได้และเป็นหนึ่งในเครื่องมือในการ "ขาย" ความปลอดภัยให้กับฝ่ายบริหารขององค์กร กำหนดเกณฑ์ และพิสูจน์ต้นทุนด้านความปลอดภัยของข้อมูล

อย่างไรก็ตาม ความยืดหยุ่นและความคล่องตัวก็เป็นจุดอ่อนของมาตรฐานนี้เช่นกัน นักวิจารณ์กล่าวว่า ISO 17799 เป็นนามธรรมเกินไปและมีโครงสร้างที่ไม่ชัดเจนจนมีคุณค่าที่แท้จริง การใช้อย่างไม่ทั่วถึงเพียงพออาจทำให้เกิดความรู้สึกปลอดภัยที่ผิดพลาดได้

ISO 17799 อธิบายมาตรการเพื่อความปลอดภัยใน ปริทัศน์แต่ไม่ได้พูดอะไรเกี่ยวกับด้านเทคนิคของการนำไปใช้งาน ตัวอย่างเช่น มาตรฐานแนะนำให้ใช้กลไกการควบคุมการเข้าถึงและกำหนดเทคโนโลยีเฉพาะ เช่น คีย์ USB สมาร์ทการ์ด ใบรับรอง ฯลฯ อย่างไรก็ตาม เขาไม่ได้คำนึงถึงข้อดีและข้อเสียของเทคโนโลยี คุณลักษณะ และวิธีการใช้งานเหล่านี้

อเล็กซานเดอร์ แอสทาคอฟ

British Standards Institute (BSI) โดยการมีส่วนร่วมขององค์กรเชิงพาณิชย์ เช่น Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica ฯลฯ ได้พัฒนามาตรฐานความปลอดภัยของข้อมูล ซึ่งถูกนำมาใช้เป็น มาตรฐานแห่งชาติในปี 1995 มาตรฐาน บี 7799การจัดการความปลอดภัยของข้อมูลขององค์กร โดยไม่คำนึงถึงกิจกรรมของบริษัท

ตามมาตรฐานนี้ บริการรักษาความปลอดภัย แผนกไอที หรือฝ่ายบริหารของบริษัทจะต้องเริ่มทำงานตามกฎระเบียบทั่วไป ไม่สำคัญว่าเรากำลังพูดถึงการปกป้องเอกสารกระดาษหรือข้อมูลอิเล็กทรอนิกส์ ปัจจุบัน British Standard BS 7799 ได้รับการรองรับใน 27 ประเทศ รวมถึงประเทศในเครือจักรภพอังกฤษ รวมถึงสวีเดนและเนเธอร์แลนด์ ในปี พ.ศ. 2543 สถาบันระหว่างประเทศมาตรฐาน ISO ที่อิงจาก British BS 7799 พัฒนาและเผยแพร่มาตรฐานการจัดการความปลอดภัยสากล ISO / IEC 17799 ปัจจุบันอาจโต้แย้งได้ว่า BS 7799 และ ISO 17799 เป็นมาตรฐานเดียวกันซึ่งปัจจุบันได้รับการยอมรับทั่วโลกและสถานะของมาตรฐาน ISO สากล .

อย่างไรก็ตามควรสังเกตว่าเนื้อหาต้นฉบับของมาตรฐาน BS 7799 ซึ่งยังคงใช้อยู่ในหลายประเทศ ประกอบด้วยสองส่วน

· นโยบายการรักษาความปลอดภัย

· องค์กรแห่งการคุ้มครอง

· การจำแนกประเภทและการจัดการทรัพยากรสารสนเทศ

· การบริหารงานบุคคล

· ความปลอดภัยทางกายภาพ.

· การบริหารระบบคอมพิวเตอร์และเครือข่าย

· ควบคุมการเข้าถึงระบบ

· การพัฒนาและบำรุงรักษาระบบ

· การวางแผนการดำเนินงานขององค์กรให้ราบรื่น

· การตรวจสอบระบบว่าสอดคล้องกับข้อกำหนดด้านความปลอดภัยของข้อมูลหรือไม่

"ส่วนที่ 2: ข้อมูลจำเพาะของระบบ"(1998) พิจารณาแง่มุมเดียวกันนี้จากมุมมองของการรับรอง ระบบข้อมูลเพื่อให้เป็นไปตามข้อกำหนดของมาตรฐาน

กำหนดข้อกำหนดการทำงานที่เป็นไปได้ของระบบการจัดการความปลอดภัยของข้อมูลองค์กรจากมุมมองของการตรวจสอบเพื่อให้เป็นไปตามข้อกำหนดในส่วนแรกของมาตรฐานนี้ ตามบทบัญญัติของมาตรฐานนี้ ขั้นตอนการตรวจสอบระบบข้อมูลองค์กรก็ได้รับการควบคุมเช่นกัน

คำแนะนำเพิ่มเติมสำหรับการจัดการความปลอดภัยของข้อมูลจัดทำโดยแนวทางของ British Standards Institution (BSI) http://www.bsi-giobal.com/ ซึ่งเผยแพร่ระหว่างปี 1995-2003 ในชุดข้อมูลต่อไปนี้:

· ความรู้เบื้องต้นเกี่ยวกับปัญหาการจัดการความปลอดภัยของข้อมูล – การจัดการความปลอดภัยของข้อมูล: บทนำ

· โอกาสในการรับรองตามข้อกำหนดของมาตรฐาน BS 7799 - การเตรียมการรับรอง BS 7799

· คู่มือการประเมินความเสี่ยงและการบริหารความเสี่ยง BS 7799

· คุณพร้อมสำหรับการตรวจสอบ BS 7799 แล้วหรือยัง?

· คำแนะนำเกี่ยวกับการตรวจสอบ BS 7799

ปัจจุบัน คณะกรรมการระหว่างประเทศ Joint Technical Committee ISO/IEC JTC 1 ร่วมกับ British Standards Institution (BSI) - (www.bsi-global .com) และโดยเฉพาะอย่างยิ่ง UKAS (United Kingdom Accredited Service) บริการนี้รับรององค์กรสำหรับสิทธิ์ในการตรวจสอบความปลอดภัยของข้อมูลตามมาตรฐาน BS ISO/IEC 7799:2000 (BS 7799-1:2000) ใบรับรองที่ออกโดยหน่วยงานเหล่านี้ได้รับการยอมรับในหลายประเทศ

โปรดทราบว่าหากบริษัทได้รับการรับรองตาม มาตรฐานไอเอสโอมาตรฐาน 9001 หรือ ISO 9002 BS ISO/IEC 7799:2000 (BS 7799-1:2000) ช่วยให้การรับรองความปลอดภัยของข้อมูลสามารถรวมกับการรับรองมาตรฐาน ISO 9001 หรือ 9002 ทั้งในระยะเริ่มแรกและระหว่างการตรวจสอบเพื่อยืนยันความถูกต้อง ในการดำเนินการนี้ คุณต้องมีคุณสมบัติตรงตามเงื่อนไขในการเข้าร่วมในการรับรองแบบรวมของผู้ตรวจสอบบัญชีที่ลงทะเบียนตามมาตรฐาน BS ISO/IEC 7799:2000 (BS 7799-1:2000) ในเวลาเดียวกัน แผนการทดสอบร่วมควรระบุขั้นตอนในการตรวจสอบระบบความปลอดภัยของข้อมูลอย่างชัดเจน และหน่วยงานผู้รับรองควรตรวจสอบให้แน่ใจว่าการตรวจสอบความปลอดภัยของข้อมูลนั้นละเอียดถี่ถ้วน