Что такое ISO 27001 и как получить

Когда речь заходит о защите информации, предприятия полагаются на ряд сертификатов ISO / IEC 27000.

Информационная безопасность 27001 ИСО / IEC 27001 устанавливает ряд требований к системе менеджмента информационной безопасности, хотя в ряде сертификатов ИСО / IEC 27000 больше десятка разновидностей стандартов.

Их использование позволяет организациям любого типа управлять безопасностью активов, таких как финансовая информация, интеллектуальная собственность, данные о сотрудниках или сведения, доверенные третьими сторонами.

Что такое ИСО 27001

ISO 27001 или ИСО МЭК 27001 (известный также как ISO / IEC 27001: 2005) — это спецификация системы менеджмента информационной безопасности. Последнее — это структура, которая включает все средства контроля, которые используются в процессе управления, связанных с рисками утечки информации. А это юридические средства контроля, технические, а также разглашение информации сотрудниками — то есть физические средства контроля.

Если опираться на документацию, ISO 27001 был внедрен, чтобы «создать модель для разработки, внедрения, работы, контроля, анализа, поддерживания и улучшения системы управления рисками утечки важной информации».

В стандарте ISO 27001 используется подход сверху вниз, основанный на оценке риска, и он не зависит от технологий. Спецификация определяет процесс планирования, состоящий из шести частей:

1. Определения политики безопасности.
2. Определение области действия системы менеджмента информационной безопасности.
3. Проведение оценки рисков.
4. Управление выявленными рисками.
5. Выбор целей контроля и средств контроля, которые необходимо внедрить.
6. Подготовка заявления о применимости.

Цели сертификации

Целью ISO / IEC 27001 является предоставление формальных спецификаций, которые ставят информационную безопасность под категориальный управленческий контроль.

ГОСТ 27001 определяет условия для формирования, внедрения, мониторинга, оценки, поддержки и улучшения системы менеджмента для управления рисками информационной безопасности организации.

Организации, внедряющие ISO / IEC 27001, могут подтвердить это с помощью аудита, проводимого аккредитованной организацией, подтверждающего соответствие требованиям ISO / IEC 27001: 2013.

Область применения стандарта ISO IEC 27001 2005: стандарт действителен для всех типов организаций любого размера и для всех отраслей и рынков.

Основные этапы оформления

Оформление сертификата происходит в несколько этапов и согласно требованиям ISO 27001.  

1. Предварительный аудит существующей системы зашиты информации: изучении документов СМИБ, нахождение слабых мест и несоответствий.
2. Аудит для выдачи сертификата, оценивание уже исправленной системы и того, подходит ли она требованиям стандарта.
3. Решение о том, выдавать ли сертификат.
4. Ежегодный контроль (аудит) на соответствие всем требованиям ISO / IEC 27001.

Другие стандарты, разрабатываемые в ряде сертификатов 27000 включают:

• 27003 — руководство по внедрению;
• 27004 — стандарт измерения соответствия управления информационной безопасностью, предлагающий показатели, помогающие повысить эффективность СМИБ;
• 27005 — стандарт управления рисками информационной безопасности (опубликовано в 2008 г.)
• ГОСТ 27001 2006 — руководство по процессу сертификации или регистрации для аккредитованных органов по сертификации или регистрации СМИБ (опубликовано в 2007 г.)
• 27007 — руководство по аудиту СМИБ.

Какие преимущества получит компания

Сертификация IEC 27001 дает ряд преимуществ помимо простого соответствия стандартам.

Соблюдение требований законодательства — количество законов, нормативных актов и требований, предоставленных в договорах с клиентами, связанных с информационной безопасностью, постоянно растет. Большинство из них можно соблюсти путем внедрения ISO 27001 — этот стандарт предоставляет вам четкий метод.

Получение конкурентного преимущества — если ваша компания получит сертификат, а ваши конкуренты — нет, у вас возникает в глазах тех клиентов, щепетильно относящихся к обеспечению безопасности своей информации.

Уменьшение затрат — основная философия ISO 27001 заключается в предотвращении инцидентов с утечкой информации, а каждый такой случай, большой или маленький, сказывается на репутации и стоит денег. Поэтому, предотвращая их, ваше предприятия сэкономит внушительное количество денежных средств.

Лучшая организационная структура — как правило, у компаний с быстрым ростом нет времени, чтобы остановиться и определить цели, процессы. Как следствие, сотрудники не понимают, что нужно делать. Внедрение ISO 27001 помогает разрешить такие ситуации, потому что он побуждает компании записывать свои основные процессы (даже те, которые не связаны с информационной безопасностью), что позволяет им сокращать потери времени своих сотрудников.

Если в данном вопросе вам понадобится юридическая помощь, обращайтесь к нашим специалистам.