ISO 27001 — стандарт, устанавливающий критерии системы менеджмента информационной безопасности (СМИБ).
Этот стандарт применяется самостоятельно или совместно с ISO 9001 и ISO 20000.
Способность организации соответствовать требованиям ISO/MAC 27001 2006 (государственный стандарт СМИБ) подтверждается методом сертификации компании уполномоченными независимыми органами.
Сертификат менеджмента информационной безопасности ISO 27001 2013 обеспечит защиту ваших данных и поможет наладить контроль за их уровнем риска на информационных просторах. Это новая ступень в развитии вашего бизнеса.
СМИБ ISO 27001 предназначается для всех структур, независимо от типа организации, предоставляемых услуг и продукции, коммерческой ориентации предприятия.
Список документов необходимый для получения сертификата:
Мы являемся аккредитованным органом по сертификации. Аккредитованы в Федеральном агентстве по техническому регулированию и метрологии.
Регистрационный номер №РОСС RU.31172.04ЖНГ0
Впервые о стандартизации в области информационной безопасности задумались британцы. Их министерство торговли и промышленности, в 1992 году опубликовало собственную разработку – Кодекс информационной безопасности. Именно этот документ и стал основополагающим при дальнейшем создании международного стандарта ISO 27001.
В 1999 году на данный стандарт впервые обратила внимание Международная организации по стандартизации. Однако, это еще был не общеизвестный ныне ISO IEC 27001, а ISO 17799, который перенял нумерацию от государственных органов Великобритании.
И только в 2005 году данный стандарт был включен в линейку 27-й серии и получил свое нынешнее название ISO/IEC 27001:2005.
А в конце сентября 2013 года международная организация представила обновленный документ, который используется во всем мире прямо сейчас. Это ISO 27001 2013 — «Системы Менеджмента Информационной Безопасности. Требования». Таким образом, данный стандарт встал в одну линейку с другими общеизвестными и наиболее часто используемыми стандартами ISO.
Стандарт ISO IEC 27001 собрал воедино обще мировые знания, накопленные в сфере управления обеспечения информационной безопасности. Этот документ дает точные требования к системе менеджмента и позволяет организации обеспечить максимальную защиту собственных информационных ресурсов. Это эталонная модель, которая поможет соответствующе подготовленным людям разработать, внедрить и поддерживать на актуальном уровне систему менеджмента информационной безопасности (СМИБ).
Цель данной системы менеджмента – создать такие условия управления безопасностью, которые позволят максимально защитить информационные активы компании и дадут соответствующие гарантии партнерам по бизнесу.
Под информационной безопасностью здесь и далее подразумевается – сохранение конфиденциальности, целостности и доступности информации.
Помимо вышеупомянутых понятий, в СМИБ участвуют еще и такие: подлинность, достоверность и невозможность отказа от авторства.
При этом основные требования ISO 27001 2006 направлены на то, чтобы определить, где именно существуют максимальные риски для безопасности информации, а также дают рекомендации по действиям, которые необходимо предпринять, чтобы минимизировать данные риски.
СМИБ, которая поддерживает международный стандарт ISO 27001, должна не просто описывать, как должна защищаться информация, а дает реальные инструменты для достижения поставленных целей. После внедрения подобной системы, любая организация получает действительно работающую модель.
В соответствии с современной политикой Международной организации по стандартизации, обновленный документ стандарта ISO IEC 27001 приведен к единой, со всеми остальными стандартами, структуре. При этом среди изменений можно найти не только структурные. Ряд исправлений коснулись именно требований к организации системы менеджмента информационной безопасности.
Кроме того, в приложении А данного стандарта появились новые подразделы: А10 – Криптография, А13 – Безопасность коммуникации, А15 – Взаимодействие с поставщиками.
В новой версии более четко определены цели СМИБ в любой организации. Формулировки значительно актуализированы и понятны большинству руководителей.
Теперь текстовое описание рисков заметно упрощено. А с высшего руководства больше не требуют выпускать «Положение о принятии остаточных рисков».
В новой редакции ISO IEC 27001 2013 в ряде пунктов заменено понятие «Владелец актива» на новое понятие «Владелец риска». Для последнего дано соответствующее определение и расписаны требования.
В документе более подробно расписано, как должен проходить мониторинг СМИБ. Большинство требований сформулированы более четко, даны некоторые дополнительные требования.
Упрощена система документооборота. Управление записями и документами системы информационной безопасности теперь содержит более актуальные вопросы.
Больше внимания уделено системе коммуникации между различными подразделениями внутри одной организации.
Компании, которые планомерно внедряют международные стандарты качества, давно обратили внимание, что сейчас большинство стандартов связаны между собой. ISO 27001 2006 не является исключением и может быть одним из звеньев, когда принято решение внедрить интегрированную СМК на предприятии.
Кроме того, в современном мире, когда цена информации заметно выросла, а промышленный шпионаж не является чем-то сказочным, информационная безопасность и защита данных вообще ставятся многими в приоритет. В таких условиях, стандарт ИСО 27001 является практически обязательным для внедрения в любой организации. Но наибольшая связь у данного документа все-таки прослеживается со следующими стандартами:
В России данный стандарт соответствует внутреннему стандарту ГОСТ Р ИСО/МЭК 27001, который полностью соответствует международному документу и повторяет его статьи. Таким образом, российские органы стандартизации поддерживают мировые тенденции в обеспечении защиты информационных активов и позволяют организациям, получившим сертификат ГОСТ Р ИСО 27001 участвовать в общемировых процессах и экономических отношениях.
Сейчас международный стандарт ISO 27001 используется во всех развитых странах мира и большинстве развивающихся. Местные государственные органы высоко оценивают его значение для нормального функционирования любого предприятия и повсеместно продвигают идею о необходимости его внедрения наряду с другими международными, общепринятыми стандартами.
1. Изучение уже существующей системы безопасности клиента, что поможет сэкономить время и средства.
2. Сопоставление системы безопасности клиента со стандартами ISO 27001 2005.
3. Анализ степени готовности предприятия к оценке.
4. Проверка готовности организации применять стандарты и требования сертификата ISO 27001.
5. Непосредственно сертификация.
6. Дальнейшее сотрудничество организации с менеджерами по работе с клиентами.
Сертификация повышает уровень управляемости компании, дает возможность контроля за капиталами и акциями компании.
Сотрудники Единого Центра Сертификации будут регулярно посещать организацию для проверки действующей системы на соответствие со стандартами и работы с ее постоянным усовершенствованием.
Нажимая на кнопку "Позвоните мне!" я даю свое согласие на обработку персональных данных и принимаю условия соглашения