Az információbiztonság szabványa
Az információbiztonság ISO 27001 szabványa a BS 7799 szabványokból alakult ki és vált széles körben alkalmazott rendszerré.
Az egyik legszélesebb körben elfogadott, elterjedt és elismert szabvány elődje a Brit Szabványügyi Hivatal által kiadott BS 7799 alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy a biztonsági követelményeket és intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le, és az eddig többségében termékorientált szemléletet, illetve az értékelési, tanúsítási és minősítési folyamatok meghatározását egy szervezeti szintű, informatikai biztonságmenedzsment központú szemlélet váltotta fel.
A BS 7799 szabvány nem követelményeket ír elő, hanem - a minőségbiztosításra vonatkozó ISO 9000-es szabványokhoz hasonlóan - a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg.
Az 1995-ben megjelent BS 7799 felépítésével és tartalmával kapcsolatban a szabványt alkalmazni próbálók közül sokan érezték úgy, hogy a benne foglaltak nem tesznek eleget az elvárásaiknak. 1998-ban, az első rész kiegészítéseként jelent meg a BS 7799-2, amely elsősorban a szervezetek menedzsmentje részére fogalmaz meg követelményeket az Információbiztonság Menedzsment Rendszer (ISMS - Information Security Management System) megvalósítására és dokumentációs rendszerére vonatkozóan, valamint - átfogó kockázatelemzésre épülő - szervezeti szintű informatikai biztonsági intézkedéseket ajánl.
A végleges egységesítés az MSZ ISO/IEC 27001:2014 szabványban teljesedett ki.
Egy helyesen megtervezett és fenntartott biztonsági rendszer olyan szabályozásokon alapul, amely többek között kiterjed a célok, politikák, eljárások, gyakorlatok, szervezet, szoftver és funkciók felügyeletére. Az információbiztonsági rendszerek tervezését nem lehet elnagyolni. Mindig szem előtt kell tartani, hogy a védelemre fordított költségek arányban álljanak a védendő információs vagyon értékével.
A kialakított rendszer megfelelőségének független vizsgálatára, hogy a vonatkozó nemzetközi szabvány elvárásait milyen mértékben teljesíti, arra ma már jó gyakorlat és tapasztalt tanúsító van. Ma már a tanúsító helyeknek, képzett magyar auditoraik vannak, így az auditálás procedúrája nem ró többlet terhet (dokumentációfordítás, tolmács, stb.) a szervezetre.