ISO 27001 ma'lumot xavfsizligini boshqarish tizimining standart tuzilishi

ISO 27001 ma'lumot xavfsizligini boshqarish tizimining standart tuzilishi
Yaqinda 27001-da ISO 2013 standarti qayta ko'rib chiqilgan. Ushbu versiyada standartning 
bandlari quyidagicha: 
1.
maqsad 
2.
Sanab o'tilgan standartlar va hujjatlar 
3.
Shartlar va retseptlar 
4.
Tashkilotning konteksti 
•
Tashkilot va uning kontekstini tushunish 
•
Manfaatdor tomonlarning ehtiyojlari va umidlarini tushunish 
•
Axborot xavfsizligini boshqarish tizimining qamrovini aniqlash 
•
Axborot xavfsizligini boshqarish tizimi 

1.
rahbariyati 
•
Etakchilik va sadoqat 
•
Siyosat 
•
Korporativ rollar, majburiyatlar va vakolatlar 
2.
rejalashtirish 
•
Xavf va imkoniyatlar bilan bog'liq faoliyat 
•
Axborot xavfsizligi maqsadlari va ushbu maqsadlarga erishishni rejalashtirish 
3.
Yordam 
•
resurslari 
•
Malakaviy talablar 
•
xabardor bo'lish 
•
aloqa 
•
Yozma ma'lumot 
4.
operatsion 
•
Operatsion rejalashtirish va boshqarish 
•
Axborot xavfsizligi xavfini baholash 
•
Axborot xavfsizligi xavflarini qayta ishlash 
5.
Ishlashni baholash 
•
Monitoring, o'lchash, tahlil qilish va baholash 
•
Ichki audit 
•
Boshqarishni ko'rib chiqish 
6.
reabilitatsiya 
•
Mos kelmaslik va tuzatish harakati 
•
Har doim yaxshilash 
ISO 27001 ma'lumot xavfsizligini boshqarish tizimining sertifikati
ISO 27001 ma'lumot xavfsizligini boshqarish tizimini yaratgandan so'ng, korxonalar ushbu 
vaziyatni mijozlari, raqobatchilari va tegishli rasmiy va xususiy tashkilotlarga isbotlash uchun ISO 
27001 sertifikatiga ega bo'lishni xohlashadi. Biroq, ushbu tizimni o'rnatish maqsadi nafaqat ushbu 
hujjatga ega bo'lishi kerak. Aks holda, tizim yuqorida tavsiflangan imtiyozlarni berishi kutilmaydi. 
Amalga oshirish jarayonida aniqlangan boshqarish usullariga muvofiq, axborot aktivlarini 
himoya qilish, axborot aktivlariga tahdid soluvchi xavflarni boshqarish, xavflarni kamaytirish yoki 
kamaytirish choralari ko'rish, vaqt o'tishi bilan kelib chiqadigan yangi xavflarni baholash va agar 
qabul qilinishi mumkin bo'lmagan, lekin qabul qilinishi mumkin bo'lgan xavflar mavjud bo'lsa, ularni 
baholash. buning uchun rahbariyatning tasdiqlashi talab qilinadi. Ushbu jarayon biznes mavjud 
bo'lguncha davom etadi. 
ISO 27001 standarti talablariga javob beradigan va Axborot xavfsizligini boshqarish tizimini 
joriy qiladigan korxonalar endi sertifikatlash organiga murojaat qilib, ISO 27001 sertifikatini 
so'rashlari mumkin. Shu nuqtada, sertifikatlashtirish organining mahalliy yoki xorijiy akkreditatsiya 

organidan akkreditatsiya qilinishi juda muhimdir. Aks holda, beriladigan hisobotlar va hujjatlar 
haqiqiy emas. 
Sertifikatlash ishlarining birinchi bosqichi mavjud hujjatlar bilan amalga oshiriladi. Ushbu 
bosqichda, axborot xavfsizligi siyosati, xavflarni baholash bo'yicha hisobotlar, xavflarni boshqarish 
rejalari, muvofiqlik deklaratsiyasi, xavfsizlik protseduralari va korxona tomonidan tayyorlangan 
qo'llanmalar alohida-alohida ko'rib chiqiladi. Agar ushbu hujjatlarda biron bir nomuvofiqlik 
aniqlansa, ular ikkinchi bosqichga o'tishdan oldin bajarilishi kutilmoqda. 
Birinchi bosqichni tugatgandan so'ng, sertifikatlashtirish organi bir yoki bir nechta 
auditorlarni tayinlaydi va korxonaning ish muhitida audit ishlarini olib boradi. Mahalliy auditlarda, 
faoliyat sohasiga qarab, tashkilot tomonidan belgilangan axborot xavfsizligini boshqarish vositalari 
ISO 27001 standarti talablariga muvofiqligi yoki yo'qligi kuzatiladi. Ikkinchi bosqich auditlari 
tugallangandan so'ng auditorlar hisobot tayyorlaydi va uni sertifikatlashtirish organiga topshiradi. 
Sertifikatlashtirish organi ushbu hisobot asosida baholash ishlarini o'tkazadi va agar u tegishli 
deb topsa va uni korxonaga etkazib beradigan bo'lsa, ISO 27001 Axborot xavfsizligini boshqarish 
tizimi sertifikatini tayyorlaydi. Sertifikatning amal qilish muddati - uch yil. Biroq, ushbu hujjat 
chiqarilganidan so'ng, korxonaning talabiga binoan yiliga bir yoki ikki marta oraliq tekshiruvlar 
o'tkaziladi. Uch yildan so'ng, sertifikatlashtirish ishlari yana o'tkazilishi kerak.