ISO/IEC 27001:2005

Международный стандарт ISO/IEC 27001:2005 "Системы менеджмента информационной безопасности. Требования".
Устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Выгоды внедрения стандарта
Система управления информационной безопасностью на основе стандарта ISO 27001 позволит:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечить эффективное управление системой в критичных ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определить личную ответственность
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
- Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
- Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

О стандарте ISO/IEC 27001:2005

Основа стандарта ИСО 27001 - система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:
- На каком направлении информационной безопасности требуется сосредоточить внимание?
- Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Данный Стандарт определяет информационную безопасность как: "сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".

Основной задачей информационной безопасности является защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Интеграция ISO/IEC 27001:2005 и ISO 9001:2000
Внедрение и сертификация по ISO 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

Стандарт ИСО 27001 гармонизирован со стандартом на системы менеджмента качества ИСО 9001:2000 и базируется на его основных принципах. Более того, обязательные процедуры стандарта 9001 требуются стандартом ИСО 27001.

Структура документации по требованиям ИСО 27001 аналогична структуре по требованиям ИСО 9001. Большая часть документации, требуемая по ИСО 27001 уже могла быть разработана и использоваться в рамках ИСО 9001.

Отличительной чертой документации СМИБ является система управления рисками, требующая наличия Таблицы оценки рисков, Плана по обработке рисков и Заявления о принятии остаточных рисков.

ТЮФ Норд Украина
За дополнительной информацией можно обратиться по электронной почте: experts@akademia.kiev.ua или по телефонам:+38 050 311 88 47, 067 895 30 81, 093 651 62 43
Подробнее: www.usq.com.ua