(4852) 33-73-83, 33-15-90
Предлагаем сертификацию ISO
как в международных, так и в национальных системах
Сертификация
продукции
Сертификация систем
менеджмента
Внедрение систем
менеджмента
7 ноября 2017 года на сайте Федеральной службы по аккредитации были оп...
13.11.2017
27 марта 2018 года на территории Евразийского экономического союза вст...
03.10.2017
На территории Евразийского экономического союза 31 августа 2017 года в...
05.09.2017

Сертификация ISO 27001

ОБЩАЯ ИНФОРМАЦИЯ 

Проблемы, связанные с информационной безопасностью существуют и на сегодняшний день. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO 27001:2005 поможет организации сберечь её активов и обеспечить целостность, надежность и конфиденциальность информации.  

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанная на управлении бизнес-рисками для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения информационной безопасности.  
Стандарт ISO 27001 предъявляет требования к организации любого типа, вне зависимости от её размеров, от сферы деятельности и географической расположенности.

ИСТОРИЯ СТАНДАРТА

В ответ на возрастающие потребности общества в начале 90х годов XX века была создана рабочая группа по разработке стандартов в области информационной безопасности, первым в 1993 году были выпущены Практические правила менеджмента информационной безопасности. Данная работа получила свое развитие в первой версии британского стандарта BS 7799, который был опубликован в 1995. В 1998 году стандарт BS 7799 был пересмотрен, к тому времени он уже состоял из двух частей, одна из которых включала в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть 1, а затем как стандарт ISO 17999:2000. После этого стандарт ISO 17999 был вновь пересмотрен и выпущен как ISO 17999:2005, а затем его название было изменено на ISO 27002:2005. Новая версия второй части британского стандарта была выпущена как BS 7799:2002, Часть 2, а в июле 2007 года опубликована международной организацией по стандартизации ISO как стандарт ISO 27001:2005.

СТРУКТУРА СТАНДАРТА

Требования к данной системе предъявляет международный стандарт ISO 27001:2005, в соответствии с которым СМИБ должна базироваться на следующих ключевых компонентах:

27001-1.JPG

Требования, установленные в стандарте ISO 27001, являются общими и предназначены для применения ко всем организациям, независимо от их типа, размера или особенностей. Стандарт ISO 27001 обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование процессного подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам  другим заинтересованным сторонам о политике информационной безопасности.

ИНТЕГРАЦИЯ С ДРУГИМИ СТАНДАРТАМИ

Система менеджмента информационной безопасности может быть интегрирована с любой другой системой менеджмента, например, с системой менеджмента качества в соответствии с ISO 9001, системой экологического менеджмента в соответствии с ISO 14001, системой менеджмента информационных сервисов в соответствии с ISO 20000 и другими. 

Сегодня серия стандартов, описывающих модель системы менеджмента информационной безопасности, включает в себя:

  • ISO/IEC 27000:2009, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь”, представляет собой глоссарий для системы менеджмента информационной безопасности;
  • ISO/IEC 27001:2005, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”;
  • ISO/IEC 27002:2005, “Информационные технологии. Методы обеспечения безопасности. Свод правил менеджмента информационной безопасности”, предоставляет лучшие практические советы по менеджменту информационной безопасности;
  • ISO/IEC 27003:2010, “Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности”;
  • ISO/IEC 27004:2009, “Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения”, посвящен метрикам и оценке системы менеджмента информационной безопасности;
  • ISO/IEC 27005:2011, “Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности”;
  • ISO/IEC 27006:2011, “Информационные технологии. Методы обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности”;
  • ISO/IEC 27007:2011. «Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности», который описывает основные требования к аудиторам по информационной безопасности дополнительно к требованиям ISO 19011;
  • ISO/IEC TR 27008:2011. «Информационные технологии. Методы обеспечения защиты. Руководство для аудиторов средств управления информационной безопасностью»», направленный, прежде всего, на проверку средств управления информационной безопасностью и тесно связан с ISO/IEC 27002;
  • ISO/IEC 27011:2008, “Информационные технологии. Методы защиты. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002”;
  • ISO/IEC 27031:2011, “Информационные технологии. Методы обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий для обеспечения непрерывности бизнеса”;
  • ISO 27799:2008, “Информатика в области здравоохранения. Управление защитой информации в здравоохранении с использованием ISO/IEC 27002”, представляет собой руководство по реализации ISO/IEC 27002 в медицинской отрасли. 

ВЫГОДЫ ОТ ВНЕДРЕНИЯ И СЕРТИФИКАЦИИ

  • повышение доверия клиентов, партнеров и других заинтересованных сторон, получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах.
Создание сайта - ЯрНео