ТКБ Интерсертифика

Тренинги и консультации для бизнеса
ТКБ ИНТЕРСЕРТИФИКА

Сертификаты
 
 
 
Главная » Информация » Стандарты » ISO/IEC 27001

 
 


 

ТКБ ИНТЕРСЕРТИФИКА
приглашает на семинары по направлениям:

Внутренний аудитор СМК по ISO 9001. Семинар

ISO/IEC 27001 (Системы менеджмента защиты информации)

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Международный стандарт ISO/IEC 27001:2013 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). ISO/IEC 27001 был подготовлен совместным Техническим комитетом ISO/IEC JTC 1 «Информационные технологии», подкомитетом SC 27 «Методы обеспечения безопасности информационных технологий». Настоящее второе издание отменяет и заменяет первое издание (ISO/IEC 27001:2005), которое было технически переработано.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

Сертификация по ISO/IEC 2700 в мире с 2006 г. по 2022 г.
  • Сделать большинство информационных активов наиболее понятными для менеджмента компании
  • Выявлять основные угрозы безопасности для существующих бизнес-процессов
  • Рассчитывать риски и принимать решения на основе бизнес-целей компании
  • Обеспечить эффективное управление системой в критичных ситуациях
  • Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
  • Четко определить личную ответственность
  • Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
  • Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001
  • Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
  • Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
  • Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («The ISO Survey of Certifications – 2022») на конец 2022 г. в мире по ISO/IEC 27001 было сертифицировано 120 128 производственных площадок. В России по ISO/IEC 27001 сертифицировано 65 таких площадок.

25 октября 2022 года была опубликована новая версия стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Система менеджмента информационной безопасности — Требования», подготовленная комитетом ISO/IEC JTC 1/SC 27. Подробнее по ссылке.