Стандарт ISO 27001. Система менеджменту інформаційної безпеки

Зміст

  1. Що таке ISO/IEC 27001?
  2. Переваги сертифікації системи менеджменту ISO/IEC 27001?
  3. Область застосування стандарту ISO/IEC 27001
  4. Вартість ISO/IEC 27001 та як замовити сертифікацію?
  5. Як зрозуміти, що вашій компанії потрібен сертифікат ISO/IEC 27001?
  6. Що необхідно для проходження сертифікації ISO/IEC 27001?
  7. Навчальні курси, які допоможуть вам впровадити ISO/IEC 27001
  8. Зразок сертифіката ISO/IEC 27001

Ведучий аудитор TÜV SÜD за стандартами 9001 та ISO IEC 27001Ведучий аудитор TÜV SÜD за стандартами ISO 9001 та ISO/IEC 27001
Мудрік Юлія

Що таке ISO/IEC 27001?

Що таке ISO/IEC 27001 – це міжнародний стандарт щодо Системи менеджменту інформаційної безпеки. ISO/IEC 27001 допомагає організаціям різних секторів забезпечувати конфіденційність, цілісність та доступність інформації за рахунок застосування процесу управління ризиками та надає впевненості зацікавленим сторонам у тому, що ризики адекватно оцінюються та управляються. Які ж основні причини розробки та впровадження цього стандарту?

Вони такі:

  • конфіденційність – забезпечення доступності інформації лише для тих, хто має відповідні повноваження.  
  • доступність – забезпечення доступу до інформації лише авторизованим користувачам та в потрібний момент часу.
  • цілісність – забезпечення точності та повноти інформації, а також методів її обробки. 

Впровадження системи менеджменту інформаційної безпеки допомагає Вам вирішити ці питання та захищає Вашу інформацію від зайвих очей, а також Система менеджменту інформаційної безпеки — інструмент для запобігання втратам підприємства.

Першим стандартом з інформаційної безпеки є прийнятий на державному рівні в 1995 році і розроблений Британським інститутом стандартів BS 7799 – Part 1.
У 1999 році ця версія стандарту було перероблено та передано до Міжнародної Організації з Сертифікації, а у 2000 році затверджено як міжнародний стандарт ISO/IEC 17799:2000 (BS 7799-1:2000).
Останньою версією цього стандарту, прийнятою у 2005 році, є ISO/IEC 17799:2005.
У вересні 2002 року набула чинності друга частина стандарту BS 7799 Part 2.
Друга частина BS 7799 переглядалася в 2002 р., а наприкінці 2005 р. була прийнята ISO як міжнародний стандарт ISO/IEC 27001:2005 «Інформаційні технології — Методи забезпечення безпеки — Системи управління
залучення інформаційної безпеки — Вимоги».

розвиток ISO 27002 2013

Дослідження показують, що з кожним роком популярність цього стандарту зростає і це також підтверджується кількістю виданих сертифікатів:

sertificats-popularity-iso

 

статистика видачі сертифікатів iso

Переваги сертифікації системи менеджменту за ISO/IEC 27001?

Впровадження системи менеджменту інформаційної безпеки допомагає запобігти можливим втратам, а також зберегти ресурси та збільшити довіру зацікавлених осіб.

Деякі переваги впровадження стандарту:

Виявлення основних загроз безпеці для існуючих бізнес-процесівЗниження вартості системи безпеки
Ефективне керування системою в критичних ситуаціяхІнформаційні активи зрозумілі для менеджменту компанії
Демонстрація клієнтам та партнерам прихильність до інформаційної безпекиМіжнародне визнання та підвищення авторитету компанії
Співпраця з правильними (безпечними) постачальниками, партнерами, субконтракторамиПланування заходів захисту інформації, адекватних виявленим ризикам інформаційної безпеки
Зниження операційних витрат на виконання процесів ІБ за рахунок підвищення їх прозоростіДовіра з боку зацікавлених осіб, маркетингові та конкурентні переваги.

Область застосування стандарту ISO/IEC 27001

Цей стандарт встановлює мінімальні вимоги до розробки, впровадження, підтримки та постійного поліпшення системи менеджменту інформаційної безпеки в контексті організації. Основною для запровадження цього стандарту є ризик орієнтований підхід до бізнес-процесів. Розпочати розробку та впровадження системи інформаційної безпеки можливо не з цілої компанії, а з окремо взятих департаментів, які більш схильні до втрати інформації та ресурсів.  Одним з важливих моментів при розробці та впровадженні стандарту є ризик-орієнтований підхід та оцінка активів компанії з погляду інформаційної безпеки. 

Серцем системи менеджменту інформаційної безпеки (ІБ) є процес управління ризиками ІБ. Цей процес спрямований на прогнозування реалізації загроз інформаційній безпеці, планування та впровадження за результатами такого прогнозу заходів забезпечення інформаційної безпеки. Тим самим підвищується загальний рівень інформаційної безпеки і знижуються ризики ІБ.

Система менеджменту інформаційної безпеки — інструмент для запобігання втратам підприємства та зниження ризиків при управлінні підприємством. 

Вартість ISO/IEC 27001 та як замовити сертифікацію?

Вартість сертифікації на відповідність стандарту ISO/IEC 27001 індивідуальна, і залежить від багатьох факторів, таких, як кількість співробітників, виробничих майданчиків, процесів виробництва (послуг), сфери діяльності і т.д.

Для отримання індивідуальної вартості робіт Вам необхідно заповнити ЗАЯВКУ та надіслати нам на електронну пошту info@tms.ua. Надіслана заявка є суто інформаційним матеріалом для аналізу Вашого підприємства та складання кінцевої суми сертифікації за цим стандартом і не є Вашою згодою на проведення нами будь-яких платних та безкоштовних додаткових послуг, а вся інформація розцінюється як конфіденційна, і не підлягає іншій обробці. span>

Як зрозуміти, що вашій компанії потрібен сертифікат ISO/IEC 27001?

Сертифікація відповідно до стандарту ISO/IEC 27001 важлива для таких компаній:  

  • активно взаємодіючих з партнерами (переважно міжнародними)
  • що надають та надають послуги, пов’язані з обробкою критичної клієнтської інформації. Це можуть бути ІТ компанії, сервіс провайдери, банки, телекомунікаційні компанії, розробники ПЗ, і т.д.
  • що виходять на міжнародний ринок
  • працюючих на конкурентному ринку, де сертифікат ISO/IEC 27001 додає переваг.

Ми не беремо до уваги такі банальні речі сертифікації ISO/IEC 27001 як:

  • участь у тендерах
  • вимоги замовників
  • вимоги бізнесу та бізнес-партнерів 

Що необхідно для проходження сертифікації ISO/IEC 27001

Як і інші стандарти ISO на системи менеджменту, система менеджменту інформаційної безпеки не є обов’язковою. Організації для себе приймають рішення впроваджувати чи сертифікувати цей стандарт, а також розглядають варіант чи принесе впровадження вигоду для підприємства.  Більшість організацій впроваджує і сертифікує цей стандарт щоб мати конкурентну перевагу на ринку ІТ послуг, також для проходження тендерів на території не тільки України, а й усього світу, оскільки стандарт визнається у всьому світі, за винятком тих випадків, коли держави хочуть ще й сертифікацію за національним стандартом.  Для кожного підприємства мета отримання сертифікації за цим стандартом різна – від отримання сертифіката для того, щоб похвалитися перед іншими компаніями або правильне управління компанією та впровадження всіх практик та процесів. Будь-який впроваджений стандарт, так само, як і стандарт менеджменту інформаційної безпеки, допомагає компаніям налагодити свої бізнес-процеси всередині і показати їх як сертифіковану компанію зовні, а також знизити втрати і збільшити прибуток у майбутньому. >

Для сертифікації Вашого підприємства відповідно до стандарту ISO/IEC 27001 необхідно виконати мінімальні вимоги. Нижче наведено витяг з цих вимог:

  • Контекст підприємства
  • Область застосування та межі ЗМІБ
  • Політика ЗМІБ
  • Документована інформація згідно з процесами
  • Керування ризиками ІБ
  • Цілі та планування їх досягнення
  • Впровадити політики ІБ   

Навчальні курси, які допоможуть вам впровадити ISO/IEC 27001

  • Внутрішній аудит із систем менеджменту інформаційної безпеки ISO/IEC 27001:2013, ISO 19011:2018
  • Спеціаліст з систем менеджменту інформаційної безпеки ISO/IEC 27001:2013

Хто має відвідати?

Курси призначені для:

  •  керівників підприємств та топ-менеджерів;
  •  директорів з якості, менеджерів з систем менеджменту інформаційної безпеки та інтегрованих систем;
  •  керівників ІТ напрямків;
  •  провідних фахівців, що працюють у сфері стандартизації та сертифікації;
  •  членів Робочих груп з розробки, впровадження Систем менеджменту на підприємстві;
  •  внутрішніх аудиторів систем менеджменту;
  •  власників бізнес-процесів;
  •  IT-фахівців;
  •  всіх, хто цікавиться.

Що я вивчатиму?

На наших курсах Ви розглянете найкращі практики світових компаній, реалізовані на основі міжнародного стандарту ISO 27001:2013, які є орієнтиром та пріоритетом для побудови системи інформаційної безпеки.

Ми допоможе Вам та вашому персоналу зрозуміти та оцінити всі підводні камені та як Ви можете себе убезпечити у світі інформаційного потоку та постійних загроз.

Найважливішою складовою для ухвалення рішення будуть:

— знання про новий та специфічний стандарт;
— розуміння структури інформаційної безпеки;
— розуміння основних методик та застосування світових практик у роботі своєї компанії;
— набуття практичного досвіду для створення безпеки свого мережевого оточення.

Ви вивчіть стандарт ISO 19011:2018 на основі низки практичних завдань та прикладів, обговоріть можливі невідповідності, причини та коригувальні дії, необхідні для усунення цих невідповідностей.

Важливим фактором є можливість поставити запитання викладачеві та поспілкуватися з представниками різних підприємств під час навчання.

Що входить до навчання?

Для слухачів передбачено комплект роздаткових матеріалів в електронному та паперовому вигляді. Навчання проводиться у форматі лекцій та практичних занять, секцій питань та відповідей.

У висновку навчання передбачено тестування. У разі успішного проходження тестування учасник отримує відповідний сертифікат.

Зразок сертифіката ISO/IEC 27001

Стандарт ISO 27001. Система менеджменту інформаційної безпеки