(4852) 33-73-83, 33-15-90
Предлагаем сертификацию ISO
как в международных, так и в национальных системах
Сертификация
продукции
Сертификация систем
менеджмента
Внедрение систем
менеджмента
На территории Евразийского экономического союза 31 августа 2017 года в...
05.09.2017
0 июля 2017 года состоялось официальное опубликование и вступление в с...
03.08.2017
19 июля 2017 года на официальном интернет-портале правовой информации ...
20.07.2017

Сертификация ISO 27001

ОБЩАЯ ИНФОРМАЦИЯ 

Проблемы, связанные с информационной безопасностью существуют и на сегодняшний день. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO 27001:2005 поможет организации сберечь её активов и обеспечить целостность, надежность и конфиденциальность информации.  

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанная на управлении бизнес-рисками для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения информационной безопасности.  
Стандарт ISO 27001 предъявляет требования к организации любого типа, вне зависимости от её размеров, от сферы деятельности и географической расположенности.

ИСТОРИЯ СТАНДАРТА

В ответ на возрастающие потребности общества в начале 90х годов XX века была создана рабочая группа по разработке стандартов в области информационной безопасности, первым в 1993 году были выпущены Практические правила менеджмента информационной безопасности. Данная работа получила свое развитие в первой версии британского стандарта BS 7799, который был опубликован в 1995. В 1998 году стандарт BS 7799 был пересмотрен, к тому времени он уже состоял из двух частей, одна из которых включала в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть 1, а затем как стандарт ISO 17999:2000. После этого стандарт ISO 17999 был вновь пересмотрен и выпущен как ISO 17999:2005, а затем его название было изменено на ISO 27002:2005. Новая версия второй части британского стандарта была выпущена как BS 7799:2002, Часть 2, а в июле 2007 года опубликована международной организацией по стандартизации ISO как стандарт ISO 27001:2005.

СТРУКТУРА СТАНДАРТА

Требования к данной системе предъявляет международный стандарт ISO 27001:2005, в соответствии с которым СМИБ должна базироваться на следующих ключевых компонентах:

27001-1.JPG

Требования, установленные в стандарте ISO 27001, являются общими и предназначены для применения ко всем организациям, независимо от их типа, размера или особенностей. Стандарт ISO 27001 обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование процессного подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам  другим заинтересованным сторонам о политике информационной безопасности.

ИНТЕГРАЦИЯ С ДРУГИМИ СТАНДАРТАМИ

Система менеджмента информационной безопасности может быть интегрирована с любой другой системой менеджмента, например, с системой менеджмента качества в соответствии с ISO 9001, системой экологического менеджмента в соответствии с ISO 14001, системой менеджмента информационных сервисов в соответствии с ISO 20000 и другими. 

Сегодня серия стандартов, описывающих модель системы менеджмента информационной безопасности, включает в себя:

  • ISO/IEC 27000:2009, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь”, представляет собой глоссарий для системы менеджмента информационной безопасности;
  • ISO/IEC 27001:2005, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”;
  • ISO/IEC 27002:2005, “Информационные технологии. Методы обеспечения безопасности. Свод правил менеджмента информационной безопасности”, предоставляет лучшие практические советы по менеджменту информационной безопасности;
  • ISO/IEC 27003:2010, “Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности”;
  • ISO/IEC 27004:2009, “Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения”, посвящен метрикам и оценке системы менеджмента информационной безопасности;
  • ISO/IEC 27005:2011, “Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности”;
  • ISO/IEC 27006:2011, “Информационные технологии. Методы обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности”;
  • ISO/IEC 27007:2011. «Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности», который описывает основные требования к аудиторам по информационной безопасности дополнительно к требованиям ISO 19011;
  • ISO/IEC TR 27008:2011. «Информационные технологии. Методы обеспечения защиты. Руководство для аудиторов средств управления информационной безопасностью»», направленный, прежде всего, на проверку средств управления информационной безопасностью и тесно связан с ISO/IEC 27002;
  • ISO/IEC 27011:2008, “Информационные технологии. Методы защиты. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002”;
  • ISO/IEC 27031:2011, “Информационные технологии. Методы обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий для обеспечения непрерывности бизнеса”;
  • ISO 27799:2008, “Информатика в области здравоохранения. Управление защитой информации в здравоохранении с использованием ISO/IEC 27002”, представляет собой руководство по реализации ISO/IEC 27002 в медицинской отрасли. 

ВЫГОДЫ ОТ ВНЕДРЕНИЯ И СЕРТИФИКАЦИИ

  • повышение доверия клиентов, партнеров и других заинтересованных сторон, получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах.
Создание сайта - ЯрНео