ISO 27001:2005

27001(2)

ISO/IEC 27001:2005 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1.
Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ)
Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

· на каком направлении информационной безопасности требуется сосредоточить внимание;

· сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Сертификация 

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

· стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
· стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
· стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

ИСО 27001:2005 в мире

В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO 27001:2005, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ).

Получение сертификата на соответствие системы управления ИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно.

Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов. Эффективная система управления ИБ, во-первых, обеспечивает необходимый уровень защиты всех информационных активов компании (т.е. существенно снижается риск нанесения ущерба компании из-за нарушения ИБ), и, во-вторых, гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу компании.

Скачать: Стандарт ISO 27001:2005 «Системы управления информационной безопасностью. Требования»

Наша страничка на YouTube

Партнеры