Стандарт ISO 27001. Система менеджмента информационной безопасности
Содержание
- Что такое ISO/IEC 27001?
- Преимущества сертификации системы менеджмента по ISO/IEC 27001?
- Область применения стандарта ISO/IEC 27001
- Стоимость ISO/IEC 27001 и как заказать сертификацию?
- Как понять, что вашей компании нужен сертификат ISO/IEC 27001?
- Что необходимо для прохождения сертификации ISO/IEC 27001?
- Учебные курсы, которые помогут вам внедрить ISO/IEC 27001
- Образец сертификата ISO/IEC 27001
Ведущий аудитор TÜV SÜD по стандартам ISO 9001 и ISO/ IEC 27001
Мудрик Юлия
Что такое ISO/IEC 27001?
Что такое ISO/IEC 27001 – это международный стандарт по Системе менеджмента информационной безопасности. ISO/IEC 27001 помогает организациям различных секторов обеспечивать конфиденциальность, целостность и доступность информации за счет применения процесса менеджмента рисков и придает уверенности заинтересованным сторонам в том, что риски адекватно оцениваются и управляются. Какие же основные причины разработки и внедрения данного стандарта?
Они следующие:
- конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.
- доступность – обеспечение доступа к информации только авторизованным пользователям и в нужный момент времени.
- целостность – обеспечение точности и полноты информации, а также методов ее обработки.
Внедрение системы менеджмента информационной безопасности помогает Вам решить данные вопросы и защищает Вашу информацию от лишних глаз, а также Система менеджмента информационной безопасности — инструмент для предотвращения потерь предприятия.
Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 – Part 1.
В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).
Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
Исследования показывают, что с каждым годом популярность данного стандарта возрастает и это также подтверждается количеством выданных сертификатов:
Преимущества сертификации системы менеджмента по ISO/IEC 27001?
Внедрение системы менеджмента информационной безопасности помогает предотвратить возможные потери, а также сохранить ресурсы и увеличить доверие заинтересованных лиц.
Некоторые преимущества внедрения стандарта:
| Выявление основных угроз безопасности для существующих бизнес-процессов | Снижения стоимости системы безопасности |
| Эффективное управление системой в критичных ситуациях | Информационные активы понятны для менеджмента компании |
| Демонстрация клиентам и партнерам приверженность к информационной безопасности | Международное признание и повышение авторитета компании |
| Сотрудничество с правильными (безопасными) поставщиками, партнерами, субконтракторами | Планирование мер защиты информации, адекватных выявленным рискам информационной безопасности |
| Снижение операционных затрат на выполнение процессов ИБ за счет повышения их прозрачности | Доверие со стороны заинтересованных лиц, маркетинговые и конкурентные преимущества. |
Область применения стандарта
Данный стандарт устанавливает минимальные требования к разработке, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте организации. Основополагающей для внедрения данного стандарта является риск ориентированный подход к бизнес-процессам. Начать разработку и внедрение системы информационной безопасности возможно не с целой компании, а с отдельно взятых департаментов, которые более подвержены потери информации и ресурсов. Одним из Важных моментов при разработке и внедрении стандарта является риск-ориентированный подход и оценка активов компании с точки зрения информационной безопасности.
Сердцем системы менеджмента информационной безопасности (ИБ) является процесс управления рисками ИБ. Этот процесс направлен на прогнозирование реализации угроз информационной безопасности, планирование и внедрение по результатам такого прогноза мер обеспечения информационной безопасности. Тем самым повышается общий уровень информационной безопасности, и снижаются риски ИБ.
Система менеджмента информационной безопасности — инструмент для предотвращения потерь предприятия и снижения рисков при управлении предприятием.
Стоимость ISO/IEC 27001 и как заказать сертификацию?
Стоимость сертификации на соответствие стандарту ISO/IEC 27001 индивидуальна, и зависит от многих факторов, таких, как количество сотрудников, производственных площадок, процессов производства (услуг), сферы деятельности и т.д.
Для получения индивидуальной стоимости работ Вам необходимо заполнить ЗАЯВКУ и выслать нам на электронную почту info@tms.ua. Высланная заявка является сугубо информационным материалом для анализа Вашего предприятия и составления конечной суммы сертификации по данному стандарту и не является Вашим согласием на проведение нами каких-либо платных и бесплатных дополнительных услуг, а вся информация расценивается как конфиденциальная, и не подлежит иной обработке.
Как понять, что вашей компании нужен сертификат ISO/IEC 27001?
Сертификация согласно стандарту ISO/IEC 27001 важна для таких компаний:
- активно взаимодействующих с партнерами (в большей части международными)
- предоставляющих и оказывающих услуги, связанные с обработкой критической клиентской информации. Это могут быть ИТ компании, сервис провайдеры, банки, телекоммуникационные компании, разработчики ПО, и т.д.
- выходящих на международный рынок
- работающих на конкурентном рынке, где сертификат ISO/IEC 27001 добавляет преимуществ.
Мы не берем во внимание такие банальные вещи сертификации ISO/IEC 27001 как:
- участие в тендерах
- требования заказчиков
- требования бизнеса и бизнес-партнеров
Что необходимо для прохождения сертификации ISO/IEC 27001
Как и другие стандарты ISO на системы менеджмента, система менеджмента информационной безопасности не являются обязательной. Организации для себя принимают решение внедрять и сертифицировать ли данный стандарт, а также рассматривают вариант принесет ли внедрение выгоду для предприятия. Большая часть организаций внедряет и сертифицирует данный стандарт чтобы иметь конкурентное преимущество на рынке ИТ услуг, также для прохождения тендеров на территории не только Украины, но и всего мира, так как стандарт признается во всем мире, за исключение тех случаев когда государства хотят еще и сертификацию по национальному стандарту. Для каждого предприятия цель получения сертификации по данному стандарту разная – от получения сертификата для того, чтобы похвастаться перед другими компаниями либо же правильное управление компанией и внедрение всех практик и процессов. Любой внедренный стандарт, так же, как и стандарт менеджмента информационной безопасности помогает компаниям наладить свои бизнес-процессы внутри и показать их как сертифицированную компанию снаружи, а также снизить потери и увеличить прибыль в будущем.
Для сертификации Вашего предприятия согласно стандарту ISO/IEC 27001 необходимо выполнить минимальные требования. Ниже приведена выдержка из этих требований:
- Контекст предприятия
- Область применения и границы СМИБ
- Политика СМИБ
- Документированная информация согласно процессам
- Управление рисками ИБ
- Цели и планирование их достижения
- Внедрить политики ИБ
Учебные курсы, которые помогут вам внедрить ISO/IEC 27001
- Внутренний аудит по системам менеджмента информационной безопасности ISO/IEC 27001:2013, ISO 19011:2018
- Специалист по системам менеджмента информационной безопасности ISO/IEC 27001:2013
Кто должен посетить?
Курсы предназначены для:
- руководителей предприятий и топ-менеджеров;
- директоров по качеству, менеджеров по системам менеджмента информационной безопасности и интегрированным системам;
- руководителей ИТ направлений;
- ведущих специалистов, работающих в сфере стандартизации и сертификации;
- членов Рабочих групп по разработке, внедрению Систем менеджмента на предприятии;
- внутренних аудиторов систем менеджмента;
- владельцев бизнес-процессов;
- IT-специалистов;
- всех интересующихся.
Что я буду изучать?
На наших курсах Вы рассмотрите лучшие практики мировых компаний, реализованные на основе международного стандарта ISO 27001:2013, которые являются ориентиром и приоритетом для построения системы информационной безопасности.
Мы поможет Вам и вашему персоналу понять и оценить все подводные камни и как Вы можете себя обезопасить в мире информационного потока и постоянных угроз.
Наиболее важной составляющей для принятия решения будут:
— знания о новом и специфическом стандарте;
— понимание структуры информационной безопасности;
— понимание основных методик и применение мировых практик в работе своей компании;
— приобретение практического опыта для создания безопасности своего сетевого окружения.
Вы изучите стандарт ISO 19011:2018 на основе ряда практических заданий и примеров, обсудите возможные несоответствия, причины и корректирующие действия, необходимые для устранения данных несоответствий.
Немаловажным фактором является возможность задать вопросы преподавателю и пообщаться с представителями различных предприятий во время обучения.
Что входит в обучение?
Для слушателей предусмотрен комплект раздаточных материалов в электронном и бумажном виде. Обучение проводится в формате лекций и практических занятий, секций вопросов и ответов.
В заключении обучения предусмотрено тестирование. При успешном прохождении тестирования участник получает соответствующий сертификат.
Образец сертификата
