Системы менеджмента информационной безопасности (ISO/IEC 27001/ГОСТ Р ИСО 27001)
Международный стандарт ISO/IEC 27001 «Системы менеджмента информационной безопасности. Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации. Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям, не зависимо от их типа, размера, формы собственности.
По стандарту ISO/IEC 27001 проводится официальная сертификация системы управления информационной безопасностью.
ISO/IEC 27001 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации. В Приложении А стандарта приведен перечень методов управления из стандарта ISO/IEC 17799 «Информационная технология - Методы защиты - Практическое руководство для управления системой защиты информации - Требования», которые организация может выбрать для уменьшения рисков информационной безопасности.
Совместимость с другими стандартами на системы менеджмента
Стандарт совместим с такими стандартами как ISO 9001 и ISO 14000. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках существующих систем менеджмента.
Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001
Сертификация на соответствие Стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью.
Интеграция ISO/IEC 27001 и ISO 9001
Внедрение и сертификация по ISO 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.
Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001 и базируется на его основных принципах. Более того, обязательные процедуры стандарта 9001 требуются стандартом ISO 27001 .
Структура документации по требованиям ISО 27001 аналогична структуре по требованиям ISО 9001. Большая часть документации, требуемая по ISО 27001 уже могла быть разработана и использоваться в рамках ISО 9001.
Отличительной чертой документации СМИБ является система управления рисками, требующая наличия Таблицы оценки рисков, Плана по обработке рисков и Заявления о принятии остаточных рисков.
Выгоды внедрения стандарта
Система управления информационной безопасностью на основе стандарта ISO 27001 позволит:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании;
- Выявлять основные угрозы безопасности для существующих бизнес-процессов;
- Рассчитывать риски и принимать решения на основе бизнес-целей компании;
- Обеспечить эффективное управление системой в критичных ситуациях;
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности);
- Четко определить личную ответственность;
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности;
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001;
- Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности;
- Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках;
- Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту;
Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Нет сомнений, что на сегодняшний день во всем мире надежной гарантией эффективности защиты информации признан сертификат соответствия международного стандарта ISO 27001 «Information Security Management Systems» (Системы управления информационной безопасностью). Компания ООО “Системный Консалтинг” предлагает полный комплекс проектных и консультационных услуг по разработке, внедрению и подготовке к сертификации системы управления информационной безопасности (СУИБ) в Вашей компании.
Проект построения СУИБ состоит из следующих основных этапов:
- Планирование. Определение границ СУИБ. Оценка рисков информационной безопасности (ИБ) и планирование контрмер. Определение недостающих средств управления ИБ.
- Разработка. Разработка политики ИБ. Создание недостающих, оптимизация и документирование имеющихся средств управления. Разработка процедур, инструкций и регламентов. Распределение обязанностей и полномочий. Обучение персонала.
- Внедрение. Введение в действие средств управления. Издание документации. Консультирование персонала.
- Оценка результативности. Организация и проведение внутреннего аудита ИБ. Планирование и реализация корректирующих и предупреждающих действий.
- Сертификация. Выбор независимого органа по сертификации. Сопровождение в период сертификации. Устранение замечаний и несоответствий в области качества, выявленных органом по сертификации.
Наши консультанты бесплатно подготовят для Вас эскизный проект построения СУИБ, учитывающий особенности именно Вашей компании.
В консалтинговом центре «Системный Консалтинг» разработаны специальные программы проведения семинаров по разработке, внедрению и сертификации предприятий на соответствие международному стандарту ISO/IEC 27001 , а высокий уровень подготовки наших специалистов поможет Вашему предприятию качественно подготовиться к сертификации по данному стандарту.
Справки и регистрация участия по тел.:
- г. Санкт-Петербург: (812) 454-50-32, (812) 454-52-34, (812) 640-75-07
Скачать заявку Вы можете по этой ссылке: Заявка на участие в семинаре.doc
Заявки просьба высылать на адрес эл. почты: info@s-konsalt.ru или факс. (812) 454-52-34.
Мы будем рады видеть Вас среди наших постоянных клиентов и надеемся на долгосрочное
и взаимовыгодное сотрудничество!
