Norentzat?
ISO 27001 araua edozein erakunde publiko edo pribaturi aplikatzen zaio, handi zein txiki, betiere informazioaren segurtasunaren kudeaketa estandarizatua egin nahi badute.
Zer da?
UNE-EN ISO/IEC 27001:2017 araua nazioarteko estandarra da, eta ezartzen du zer baldintza bete behar dituen informazioaren segurtasuna kudeatzeko sistema batek ziurtagarria izateko. 2005etik dago indarrean nazioarteko arau gisa, eta besteak beste alderdi hauek zehazten ditu:
- Kudeaketa-sistema den heinean, bete behar dituen eskakizun orokorrak, segurtasunaren kudeaketa Deming ziklo edo PDCA ziklo gisa (Plan-Do-Check-Act) garatu dadin, eta, hala, etengabe ezarri, inplementatu eta hobetu ahal izan dadin.
- Informazioaren segurtasunaren ikuspegitik bete beharreko eskakizun espezifikoak: informazioaren segurtasunaren arriskuak aztertzeko eta kudeatzeko prozesu bat garatzea, eta, prozesu horren ondorioz, zenbait segurtasun-kontrol aplikatzea. Horiek guztiak kontrastatu egin behar dira kontrol-katalogoarekin, zeina arauan bertan baitago jasota, eranskin gisa.
Estandarraren bidez, hala, beharrezko oinarriak ezartzen dira edozein erakundek informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna gorde ahal izateko, negozio-interesak eta -premiak kontuan izanik, eta informazioaren segurtasun-arriskuak kudeatzeko etengabeko prozesu bat aplikatzen du.
Helburuak
ISO 27001 estandarraren helburuak honako puntu hauetan laburbil daitezke:
- Edozein erakundek informazioaren segurtasuna bere testuinguruan etengabe ezartzeko, inplementatzeko, mantentzeko eta hobetzeko bete beharreko gutxieneko baldintzak ezartzea.
- Alderdi interesdun guztiei konfiantza ematea, informazioaren segurtasunaren arriskuak behar bezala kudeatzeko.
- Tratatutako informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna zaintzea.
- Barneko zein kanpoko alderdiek ebaluatu ahal izatea organizazioak bere segurtasun-baldintzak betetzeko duen gaitasuna.
Onurak
ISO 27001 arauaren betekizunekin bat datorren informazioaren segurtasuna kudeatzeko sistema bat izateari esker:
- Mekanismo bat eduki daiteke, eta, haren bidez, sistematikoki aztertu, ebaluatu eta tratatu daitezke erakundearen informazioaren segurtasun-arriskuak.
- Segurtasun-kontrolen katalogo bat erabiltzea, modu estandarizatu baina malguan tratatutako informazioaren erabilgarritasuna, osotasuna eta konfidentzialtasuna babesteko.
- Erakundearen informazioaren segurtasuna sistematikoki kudeatzen, mantentzen eta gauzatzen dela bermatzea, informazio hori etengabe hobetzera bideratuta.
- Ezarritako segurtasun-mekanismoak aldian-aldian barne-ikuskaritzaren xede direla ziurtatzea, eta, hala, egiaztatzea betetzen direla estandarrak berak ezarritako eskakizunak.
- Goi-zuzendaritza informazioaren segurtasunarekin konprometituta dagoela bermatzea, bai eta hura planifikatzen, berrikusten eta hobetzen behar bezala parte hartzen duela ere.
ISO 27001 arauaren araberako informazioaren segurtasuna kudeatzeko sistema bat ezartzeko kontuan hartu beharreko faktoreak
- Erakundearen tamaina.
- Erakundearen testuingurua
- Inplikatutako prozesuak, zerbitzuak, egoitzak eta azpiegitura teknologikoak
- Eragindako informazio-aktiboak
- Arriskuarekiko tolerantzia
- Lehendik dauden segurtasun-kontrolak eta horien heldutasun-maila
- Beste kudeaketa-sistema normalizatu batzuk edukitzea (kalitatea, ingurumena, eta abar).
- Beste antolaketa-alderdi batzuk.
ISO 27001 bidez egiazta daitekeen informazioaren segurtasuna kudeatzeko sistema bat ezartzeko prozesuaren faseak
1. fasea. Proiektua abiaraztea
Informazioaren segurtasuna kudeatzeko sistema bat ezartzeko, erakundeko goi-zuzendaritzaren inplikazioa behar da; izan ere, goi-mailako segurtasun-politika onartzeaz gainera, haren emaitzen berrikuspenean ere parte hartu beharko dute, sistema inplementatu ondoren.
2. fasea. Irismena mugatzea
Erakundeak barne- eta kanpo-testuingurua aztertu beharko ditu, eta informazioaren segurtasunaren arloan interes espezifikoak dituzten alderdi interesdunak zehaztu beharko ditu, informazioaren segurtasuna kudeatzeko sistema garatu beharko duen erakundearen egoitzen, zerbitzuen, prozesuen eta/edo arloen zerrenda zehazteko.
Irismen hori definitu ondoren, eragindako informazio-aktiboak zehaztu beharko dira barneko eta/edo kanpoko alderdi interesdun bakoitzaren interes eta beharren arabera, eta arreta berezia jarri beharko zaie aktibo horien euskarri diren bitarteko teknologikoei eta esku hartzen duten hirugarrenei.
3. fasea. Arriskuen analisia
Ondoren, arriskuen analisia egin beharko da. Horretarako, informazioaren segurtasuna kudeatzeko sistemaren irismenean kontuan hartutako informazioaren eskuragarritasuna, osotasuna eta konfidentzialtasuna galtzeari lotutako arriskuak aztertuko dira, eta zehaztuko da zer probalitate dagoen arrisku horiek gertatzeko eta zer eragin izan dezakeen arrisku horiek gauzatzeak erakundean.
4. fasea. Arriskuak kudeatzea
Ondoren, erakundeak onargarritzat jotzen duen arrisku-maila zehaztu beharko da, eta, arriskuen analisia egin ondoren, maila onargarria gainditzen duten arrisku-maila guztiak aztertu beharko dira. Hala, arrisku horiek tratatzeko beharrezkoak diren ekintzak zehaztu ahalko dira.
Ondoren, definitu berri ditugun ekintzak gauzatzearen ondorioz inplementatu behar diren segurtasun-kontrolak definitu beharko dira. “Aplikagarritasun-adierazpena” izeneko dokumentu batean jasoko da kontrol-zerrenda hori, eta arauak berak A eranskinean jasotzen dituen segurtasun-kontrolen zerrendatik abiatuta egingo da.
Aipatutako A eranskinean, beste estandar batek (UNE-EN ISO/IEC 27002:2017 araua, informazioaren segurtasun-kontroletarako jardunbide egokien kodeari buruzkoa) proposatzen duen domeinuen, kontrol-helburuen eta informazioaren segurtasun-kontrolen zerrenda jasotzen du, eta eranskin horretan jasotako kontrol bakoitzaren inplementazio optimoa proposatzen du.
6. fasea. Arriskuak tratatzeko plana garatzea
Identifikatutako gehiegizko arriskuak murrizteko ezarri behar diren segurtasun-kontrolak identifikatu ondoren, arriskuak tratatzeko plana garatu beharko da, eta plangintza espezifiko bat ere egin beharko da, aplikagarritasun-adierazpenak aplikagarritzat ezarri dituen eta erakundeak behar bezala garatuta ez dauzkan segurtasun-kontrol guztiak garatzeko eta/edo hobetzeko proiektuekin.
7. fasea. Informazioaren segurtasuna kudeatzeko sistema ezartzea
Jarraian, erakundeak informazioaren segurtasuna kudeatzeko sistema bera ezarriko du, eta arriskuak tratatzeko planean aurreikusitako proiektu guztiak garatuko ditu, bai eta kudeaketa-sistema bera ezartzeko definitutakoak ere. Proiektu horiek neurri teknologikoak eta, batez ere, antolamenduarekin, eragiketekin eta kontratuekin loturiko neurriak jasoko dituzte, erakunde bakoitzaren berariazko plana aintzat harturik.
8. fasea. Auditoretzak
Informazioaren segurtasuna kudeatzeko sistema ezartzeko proiektuak amaitu ondoren, barne-auditoretza bat egin beharko da, informazioaren segurtasuna kudeatzeko sistema ebaluatzeko eta arauak ezarritako baldintzen betetze-maila zehazteko. Era berean, erakundeak ISO 27001 arauaren arabera ziurtatu nahi baldin badu informazioaren segurtasuna kudeatzeko sistema, ziurtapen-erakunde egiaztatu batek kanpo-ikuskaritza bat egin beharko du, objektiboki ziurtatzeko egokia dela sistema hori.
9. fasea. Eragiketa eta mantentze-lanak
Informazioaren segurtasuna kudeatzeko sistema bat ezartzeak informazioaren segurtasuna etengabe kudeatzea esan nahi du, kudeaketa-sistema gisa. Beraz, auditoretzek kudeaketa-ziklo berri bat hasi besterik ez dute egingo. Ziklo horretan, berriz ebaluatu beharko dira arriskuak, egokitzat jotzen diren segurtasun-kontrolak egokitu beharko dira, eta, bitartean, funtzionamendu-baldintza egokietan mantendu beharko dira ezarritako segurtasun-kontrol guztiak. Hala, informazioaren segurtasuna kudeatzeko eta hobetzeko etengabeko ziklo bati ekingo zaio.
Nora jo behar da Segurtasun Eskema Nazionalera egokitzeko aholkularitza eskatzeko edo kontratatzeko?
Basque Cybersecurity Centrek (BCSC) Euskadiko zibersegurtasunaren liburu zuria jarri du erakunde publikoen eta enpresa pribatuen eskura. Dokumentu horrek gure tokiko ekosistemaren ikuspegi orokorra jasotzen du hainbat ikuspegi kontuan hartuta, hala nola berrikuntza, ikerketa, ekintzailetza eta abar. Era berean, mota horretako zerbitzuak eskaintzen dituzten zibersegurtasun-hornitzaileen katalogoa jasotzen du, zerbitzu horiek eskatzeko interesa duten erakundeek erreferentzia-puntu bat izan dezaten eta, hala, lagungarri izan dakien erabakiak hartzerakoan.
Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa balio du; zerrenda bizia da, eta aldian-aldian berrikusten eta eguneratzen da, zerbitzuen digitalizazioan eta sortzen diren aukeretan izandako etengabeko bilakaera eta aurrerapena kontuan hartuta.
Erreferentziak
ISO 27000 arau-sailari buruzko gaztelaniazko ataria: https://www.iso27000.es/
