ISO 27001 Информационные технологии; методы обеспечения безопасности; системы управления информационной безопасностью; Что такое ISO 27001?

17 сентября 2020

ISO 27001

Информационные технологии; методы обеспечения безопасности; системы управления информационной безопасностью;

Что такое ISO 27001?

Стандарт ISO 27001 для систем управления информационной безопасностью требует от организаций принятия риск-ориентированного подхода к обеспечению безопасности всей информации. ISO 27001 не является предписывающим документом, скорее он предназначен для того, чтобы позволить организациям обеспечить безопасность информации путем оценки и обработки рисков информационной безопасности, документированных в заявлении о применимости.

 

Требования к системе управления информационной безопасностью – системы управления информационной безопасностью (ИСБ) требуют от организаций:

* выявление рисков информационной безопасности

* понимать внешние и внутренние проблемы, а также заинтересованные стороны, имеющие отношение к информационной безопасности

* разработать политику информационной безопасности- одностраничный документ, декларирующий приверженность информационной безопасности •

* разработать заявление о применимости, документирующее оценку выявленных рисков информационной безопасности и устанавливающее меры контроля (обработку рисков) на основе эталонных мер контроля, документированных в ‘приложении A’ к стандарту ISO 27001

* разработка руководства по управлению - краткое рассмотрение положений стандарта ISO 27001; часто интегрируется с руководством для других систем управления.

* разработка процедур - инструкций, необходимых для обеспечения информационной безопасности;

* контролировать любой аутсорсинг управления информацией

* разработка и мониторинг целей и задач информационной безопасности

* охватывать риски и возможности информационной безопасности

* убедитесь, что сотрудники компетентны и понимают свои обязанности в области информационной безопасности

* мониторинг эффективности информационной безопасности

* контролировать несоответствия информационной безопасности и принимать корректирующие меры в случае значительных или повторяющихся несоответствий

* проведение внутренних аудитов системы управления информационной безопасностью

* обеспечить, чтобы высшее руководство стратегически проанализировало систему управления информационной безопасностью.

 

Требования к документации:

• Заявление о применимости политики информационной безопасности

* ISMS или процедуры руководства по управлению

* План совершенствования (мониторинг целей и задач информационной безопасности)

* Регистры - несоответствия и корректирующие действия.

 

Преимущества системы управления информационной безопасностью:

* продемонстрированная должная осмотрительность в соответствии с нормативными и потребительскими требованиями

* выполнение тендерных требований и выделение из числа конкурентов

* улучшенная репутация и расширенный профиль компании

* демонстрация целостности данных клиентам, поставщикам и другим заинтересованным сторонам

* снижение риска мошенничества, потери и раскрытия информации

* повышение устойчивости к кибер-атакам

* оперативное обнаружение утечки данных и быстрое реагирование на нарушения

* снижение затрат, связанных с информационной безопасностью

* обеспечение конфиденциальности, целостности и доступности защищенных данных всех форм информации

* обеспечение конфиденциальности на рабочем месте и повышение корпоративной культуры;

* легкое интегрирование с другими системами управления.