Izenpe: ISO 27001 ziurtapena eta ETSI TS 101 456

Ziurtapen-zerbitzuak eskaintzen dituenez, Izenpek herritarrei eta hirugarrenei eskaintzen dizkien konfiantza eta sinesgarritasuna ditu bere baliorik garrantzitsuenen artean, sozietatearen xedeak berak islatzen duen bezala.

Konfiantza hori areagotzeko, Informazioaren Segurtasuna Kudeatzeko Sistema (aurrerantzean ISKS) baten ziurtapena lortzeko proiektuari ekitea erabaki du. Hori ISO 27001 arauaren arabera egingo du, hori baita gaur egungo BS 7799-2:2002 arauak hartuko duen izen berria. Horrekin batera, autoritate ziurtagiri-emaileetarako (aurrerantzean AZE) berariazko ziurtapena lortuko du, ETSI TS 101 456 (Policy requirements for certification Authorities issuing qualified certificates) arauaren arabera.

ISKS ziurtapenak proiektuan barne hartu dituen Izenperen prozesuen segurtasun globala baieztatzen dio Izenperi, garrantzitsua baita argi eta garbi definitzea zer ziurtatu nahi den. Izenperen kasuan AZEetarako ziurtapena.

ISO 27001 egiaztapena lortzeko definitutako irismenaren arabera, ETSI TS 101 456 ziurtapen osagarria lortzea komenigarria litzatekeela balioetsi da, izan ere, arau horrek argi eta garbi definitzen ditu AZE batek bete behar dituen zerbitzu nagusiak eta bigarren mailakoak, honakoak, hain zuzen ere:

• Erregistro-zerbitzua
  
  
• Ziurtagiriak sortzeko zerbitzua
  
  
• Barreiadura-zerbitzua
  
  
• Ezeztatzeak eta horien estatusak kudeatzeko zerbitzua
  
  
• Sinadura sortzeko gailuak
  
  
• Denbora zigilatzeko zerbitzua

Zerbitzu horiez gain, ETSI arauak ziurtapen-politikak bete beharreko eskakizunei erreparatzen die, eta 4 multzo nagusiren inguruan egituratzen da.

• Ziurtapen-praktiken deklarazioa (ZPD)
  
  
• Gakoen bizi-zikloak kudeatzea
  
  
• Ziurtagirien bizi-zikloak kudeatzea
  
  
• AZEaren kudeaketa eta jarduna

Bi arau horiek dagokion ziurtapena lortzeko ezinbestean gainditu beharreko hainbat kontrol betetzearen mendeko dira. ISO 27001 ziurtapena lortzeko kontrolak ETSI arauarenak baino zabalagoak eta ugariagoak dira, segurtasunari bere osotasunean heltzen baitio. Arau hori edozein enpresatarako da baliagarria eta ETSI arauaren kontrolak, aldiz, Izenpe bezalako enpresetarako izaten dira berariaz.

Aurretiko auditoria

Arauak ziurtatzeko prozesuari ekiteko, gure informazio-sistemari buruzko aurretiko auditoria egin da, ISO 27001 arauaren kontrolei jarraiki. Horren helburua gaur egungo egoeraren berri izatea da, eta horri esker jakingo dugu zein esparrutan ditugun gabeziak eta zein esparrutan gabiltzan ongi. Gainera, proiektu hau gauzatzeak berekin ekarriko duen kostua eta proiektuaren iraupena zehaztu ahal izango ditugu. Horrekin batera, Izenperen AZEaren egoera egiaztatzeko prozesu bera egin da, betiere ETSI TS 101 456 arauaren arabera.

Hasierako auditoria horren bidez izango dugu kontrolen egoeraren berri, definizioaren mailan nahiz kontrola ezartzeari dagokion mailan. Maila horiek eskala bana izango dute, ezarpena eta definizioa zenbaterainokoak izan diren adierazteko. Eskala hori oso eskasetik oso onera bitartekoa da.

Etorkizuneko ekintzak Aurretiko auditoria egiteko lehen urratsa egin ondoren, honakoak izango dira ondorengoak: - Prozesuak definitzea - Prozesu horiek ezartzea - Prozesuak monitorizatzea - Prozesuen definizioa eta ezarpena hobetzea Urrats horiek etengabe kudeatu eta hobetzeko PDCA ereduan oinarritzen dira, eta helburua prozesuak bere burua atzeraelikatzea da, etengabe aktibo egotea, eta ez geratzea papereko proiektu soil gisa.

Ondorioak

Izenperen aurreikuspenen arabera, 2006ko maiatza edo ekaina aldera lortuko du ISO 27001 arauaren araberako ISKS ziurtapena. ETSI TS 101 456 ziurtapena, berriz, 2006ko otsailean. Izenperen ustez etorkizunean ISO 27000 familiako ziurtapen hauek estandar izango dira, bere garaian kalitateko ISO 9000 eta ingurumeneko ISO 14000 arauekin gertatu zen bezalaxe.