ISO 27001 un datu neatkarības mīts
ISO 27001 sertifikācija ir nozares standarts — uzņēmuma drošības vadībai, pamatojoties uz ISMS (Informācijas drošības vadības sistēma) procesiem. Tas apraksta, kā organizācija vadīja riskus, apmācīja personālu un reaģēja uz drošības incidentiem.
Bet ir izplatīts maldojums: ISO 27001 sertifikācija garantē, ka jūsu dati ir droši un personāls nevar piekļūt.
Fakts: ISO 27001 sertifikācija nenorāda šifrēšanas principus vai datu piekļuves ierobežojumus.
Sertifikācija verificē vadības praksi, nevis arhitektūras spējas. Piegādātājs ar servera puses šifrēšanu var saņemt ISO 27001 sertifikāciju un konsekventi nodrošina drošības vadības procedūras - piekļuves kontroli, incidentu reagēšanu, darbinieku apmācību. Tas jāveic pareizi.
Bet servera puses šifrēšana nozīmē, ka atbalsta inženieri un administratori joprojām var skatīt nešifrētus datus, jo šifrēšanas atslēgas atrodas servera pusē. ISO 27001 šo iespēju neizsmeļ.