Главные цели, для достижения которых на предприятиях внедряется и используется система менеджмента информационной безопасности ISO 27001, это:
- надежное храненные данных клиентов/компании;
- конфиденциальность использования сведений;
- исключение утечек информации;
- обеспечение высокого уровня информационно-технической безопасности (качество применяемого оборудования, внедрение инновационных технологий и т.д.).
Процедура внедрения проводится на основе принципов международного стандарта или по его полноценному аналогу ИСО/МЭК 27001-2006 в РФ.
В стандарте указаны требования к процедуре и правилам внедрения СМК в области «инфобезопасности». По итогам проводится добровольная сертификация – регистрация сертификата ИСО 27001 в реестре СДС (системы добровольной сертификации).
История создания ISO 27001
Впервые Кодекс инфобезопасности был принят в Великобритании в 1992 году.
Именно на его основе после разрабатывался стандарт первый ISO в данной области. Изначально документ имел совершенно другую структуру, но с течением времени и с учетом актуальных потребностей рынка в 2005 году был разработан обновленный ISO 27001.
Последняя редакция документа датирована 2013 годом. В ней содержатся термины, принципы и правила управления системой менеджмента информационной безопасности, которые позволяют эффективно внедрять и использовать СМК на любых предприятиях по всему миру.
Где применяется ИСО 27001
Стандарт универсален, поэтому может применяться в любых компаниях, независимо от сферы деятельности, организационно-правовой формы, иных параметров.
Однако применение ИСО особенно актуально и рекомендовано тем компаниям, деятельность которых связаны с «инфо-рисками», в частности для:
- фирм в сфере страхования;
- банковских учреждений;
- лабораторий и НИИ;
- финансовых компаний;
- учреждениях в сфере образования;
- IT-фирм;
- служб доставки;
- предприятий, ведущих деятельность в сфере «оборонки»;
- и иных.
Как внедрить СМК в сфере инфобезопасности согласно ИСО 27001? Процедура состоит из таких этапов, как разработка необходимой документации, анализ имеющихся рисков, внедрение системы и проведение корректировочных мероприятий. Помимо того, проводится обучение сотрудников и непрерывный мониторинг.
На окончательном этапе осуществляется итоговый аудит функционирования системы. По его итогам заявитель может получить добровольный сертификат.
Срок действия документа – 3 года. После документ не продлевается – его нужно переоформить.
Требования ГОСТ Р 27001-2006
Как и все документы группы ИСО, ГОСТ Р 27001-2006 основан на таких принципах, как направленность на конечного потребителя (клиента), анализ и мониторинг рисков, разработка и проведение мероприятий для минимизации рисков, взаимодействие заинтересованных сторон и иных.
Стандартом определены требования системы менеджмента информационной безопасности, которые должна соблюдать фирма. Среди них:
- выявление имеющихся рисков в сфере обеспечения инфобезопасности на предприятии;
- определение ресурсов, которые понадобятся для достижения поставленных целей;
- устранение действий и факторов, которые приводят к возникновению рисков в сфере обеспечения информационной безопасности;
- непрерывное улучшение процессов и функционирования СМК;
- разработка, анализ и применение документации, которой определяется функционирование системы;
- регистрация и сохранность документированных сведений для обеспечения непрерывности функционирования СМК;
- совершенствование политики компании в сфере инфобезопасности;
- и иные требования.
Какие преимущества обеспечивает сертификация по ISO 27001?
Проведение сертификации систем менеджмента инфобезопасности дает фирмам такие преимущества, как:
- формирование пакета документации для успешного участия в тендерах по ФЗ-44 и ФЗ-223;
- создание деловой репутации надежного исполнителя и добросовестного предпринимателя;
- сокращение имеющихся инфо-рисков до минимума, включая их полное исключение;
- повышение уровня доверия к компании со стороны клиентов/заказчиков, потребителей, контролирующих органов и деловых партнеров;
- возможность выхода на новые рынки сбыта, в том числе – международные, на которых обеспечение инфобезопасности является обязательным условиям;
- создание благоприятного инвестиционного климата, привлечение инвестиций для расширения бизнеса;
- непрерывный контроль качества услуг/работ, снижение затрат, оптимизация производственных процессов и многое другое.
С какими другими стандартами можно интегрировать ISO 27001?
Благодаря универсальности ISO 27001, его можно интегрировать и применять в комплексе с любыми другими стандартами группы ИСО включая базовый (ГОСТ Р ИСО 9001), а также «экоменеджмент» (ИСО 14001), СМК по безопасности и охраны труда по ГОСТ Р 54934-2012 (OHSAS 18001:2007) и иными.
Стоит отметить, что интеграция ИСО/МЭК 27001-2006 с другими стандартами обеспечивает максимальный эффект в процессе ведения бизнеса, позволяет получить больше конкурентных преимуществ.
Что изменится в компании после внедрения СМК по информационной безопасности?
Фирма достигнет максимальной эффективности в таких процессах, как:
- обеспечение защиты от несанкционированного доступа к сведениям;
- составление и автоматизация базы пользователей, имеющих право доступа;
- структуризация имеющейся информации и удаление неактуальных сведений;
- усиление защиты передачи важных сведений между заинтересованными сторонами;
- актуализация имеющихся данных для более эффективного взаимодействия с партнерами по бизнесу;
- оптимизация ЭДО – электронного документооборота, а также многоступенчатая защита к его доступу;
- непрерывный мониторинг появления рисков и их оперативное устранение;
- составление и соблюдение правил управления рисками;
- и других.
Какие документы необходимо предоставить заявителю?
Для проведения процедуры необходимо предоставить специалистам «EAC Audit»:
- письменную заявку;
- сканы ОГРН/ИНН;
- коды деятельности по ОКВЭД;
- если требуется – лицензии/допуски на ведение деятельности;
- сведения о применяемых на предприятиях мерах по обеспечению инфобезопасности;
- документы на используемые помещения/оборудование/о штате и другие сведения и иные.
Какие еще добровольные сертификаты можно оформить?
Это зависит от поставленных целей.
По желанию заявителя документ может быть оформлен в любой СДС – к примеру, компании для участия в тендерах и заключения договоров с новыми партнерами оформляют сертификаты НРНП, РПО, РДИ, РКОпп и иные.
Больше актуальной информации по сертификации ИСО вы можете получить у специалистов Центра по телефону или онлайн.
>Звоните. Консультации специалистов «EAC Audit» – бесплатные.