Международный стандарт менеджмента безопасности ISO/IEC 27001 предназначен для разработки системы управления информационной безопасностью организации вне зависимости от ее сферы деятельности.
Стандарты ISO 27001 и ISO 17799
Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.
Положения стандарта описывают такие аспекты, как:
- Политика безопасности
- Организационные методы обеспечения информационной безопасности
- Управление ресурсами
- Пользователи информационной системы
- Физическая безопасность
- Управление коммуникациями и процессами
- Контроль доступа
- Приобретение, разработка и сопровождение информационных систем
- Управление инцидентами информационной безопасности
- Управление непрерывностью ведения безнеса
- Соответствие требованиям
Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации, не вошедших в ISO 17799; дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью (СУИБ).
Стандарт в России и странах СНГ
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Республике Беларусь с 1 ноября 2004 г. стал национальным государственным стандартом. В Молдове, благодаря позиции Национального Банка, все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799.
В России в 2006 году вышел ГОСТ 17799 и с февраля 2008 года вступает в силу ГОСТ 27001.
Подробнее об истории развития стандарта ISO 17799 в России и странах СНГ можно узнать из следующей статьи: ISO 17799: Эволюция стандарта в период 2002-2007
Преимущества сертификации
Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.
Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании
Как пройти сертификацию
Для получения сертификата соответствия ISO 27001 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, разработать и внедрить систему управления информационной безопасностью и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.
Предварительный этап, который заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью, может выполнить специализированная секьюрити компания, имеющая опыт в проведении подобных работ. Затем, после разработки и внедрения системы управления ИБ, необходимо провести итоговую проверку формального соответствия ISO 27001, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) - уполномоченном государственном органе Великобритании.
В 2004 Digital Security начала сотрудничество с британской компанией BSI MS, аккредитованной при UKAS, и в 2006 стала ее
авторизованным партнером, что позволило Digital Security готовить информационную систему компаний к сертификации по стандарту ISO 27001, а компания BSI - проводит официальную сертификацию.
Все интересующие Вас вопросы, связанные с сертификацией информационной системы Вашей компании на соответствие стандарту ISO 27001, Вы можете задать, написав письмо.
Форма заказа:
наверх
