ISO/IEC 27001

ПРЕДЛОЖЕНИЯ ПО СТАНДАРТУ ISO/IEC 27001
Обучение специалистовДиагностика системы менеджментаСертификация системы менеджментаРекомендации по выбору консультантов

Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования». Устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Информационная безопасность – это…... 80 % МенеджментПолитика ИБ, процессы ИБ,
ответственность, осведомленность, анализ рисков, непрерывность бизнеса, др.… 20 % ТехнологииСистемы, средства, архитектура, др.

Некоторые факты об информационной безопасности …

  • Информация в более широком смысле, чем электронная информация и ее носители
  • Информационная безопасность охватывает не только вопросы ИТ-безопасности
  • Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности
  • Управление в более широком смысле, чем техническими средствами и инструментами

Основа стандарта ИСО 27001 – система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

  • На каком направлении информационной безопасности требуется сосредоточить внимание?
  • Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Данный Стандарт определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Основной задачей информационной безопасности является защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.