информационная безопасность
08.09.2017
logo

ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2005) СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Главные цели, для достижения которых на предприятиях внедряется и используется система менеджмента информационной безопасности ISO 27001, это:

  • надежное храненные данных клиентов/компании;
  • конфиденциальность использования сведений;
  • исключение утечек информации;
  • обеспечение высокого уровня информационно-технической безопасности (качество применяемого оборудования, внедрение инновационных технологий и т.д.).

Процедура внедрения проводится на основе принципов международного стандарта или по его полноценному аналогу ИСО/МЭК 27001-2006 в РФ.

В стандарте указаны требования к процедуре и правилам внедрения СМК в области «инфобезопасности». По итогам проводится добровольная сертификация – регистрация сертификата ИСО 27001 в реестре СДС (системы добровольной сертификации).

История создания ISO 27001

Впервые Кодекс инфобезопасности был принят в Великобритании в 1992 году.

Именно на его основе после разрабатывался стандарт первый ISO в данной области. Изначально документ имел совершенно другую структуру, но с течением времени и с учетом актуальных потребностей рынка в 2005 году был разработан обновленный ISO 27001.

Последняя редакция документа датирована 2013 годом. В ней содержатся термины, принципы и правила управления системой менеджмента информационной безопасности, которые позволяют эффективно внедрять и использовать СМК на любых предприятиях по всему миру.

Где применяется ИСО 27001

Стандарт универсален, поэтому может применяться в любых компаниях, независимо от сферы деятельности, организационно-правовой формы, иных параметров.

Однако применение ИСО особенно актуально и рекомендовано тем компаниям, деятельность которых связаны с «инфо-рисками», в частности для:

  • фирм в сфере страхования;
  • банковских учреждений;
  • лабораторий и НИИ;
  • финансовых компаний;
  • учреждениях в сфере образования;
  • IT-фирм;
  • служб доставки;
  • предприятий, ведущих деятельность в сфере «оборонки»;
  • и иных.

Как внедрить СМК в сфере инфобезопасности согласно ИСО 27001? Процедура состоит из таких этапов, как разработка необходимой документации, анализ имеющихся рисков, внедрение системы и проведение корректировочных мероприятий. Помимо того, проводится обучение сотрудников и непрерывный мониторинг.

На окончательном этапе осуществляется итоговый аудит функционирования системы. По его итогам заявитель может получить добровольный сертификат.

Срок действия документа – 3 года. После документ не продлевается – его нужно переоформить.

Требования ГОСТ Р 27001-2006

Как и все документы группы ИСО, ГОСТ Р 27001-2006 основан на таких принципах, как направленность на конечного потребителя (клиента), анализ и мониторинг рисков, разработка и проведение мероприятий для минимизации рисков, взаимодействие заинтересованных сторон и иных.

Стандартом определены требования системы менеджмента информационной безопасности, которые должна соблюдать фирма. Среди них:

  • выявление имеющихся рисков в сфере обеспечения инфобезопасности на предприятии;
  • определение ресурсов, которые понадобятся для достижения поставленных целей;
  • устранение действий и факторов, которые приводят к возникновению рисков в сфере обеспечения информационной безопасности;
  • непрерывное улучшение процессов и функционирования СМК;
  • разработка, анализ и применение документации, которой определяется функционирование системы;
  • регистрация и сохранность документированных сведений для обеспечения непрерывности функционирования СМК;
  • совершенствование политики компании в сфере инфобезопасности;
  • и иные требования.

Какие преимущества обеспечивает сертификация по ISO 27001?

Проведение сертификации систем менеджмента инфобезопасности дает фирмам такие преимущества, как:

  • формирование пакета документации для успешного участия в тендерах по ФЗ-44 и ФЗ-223;
  • создание деловой репутации надежного исполнителя и добросовестного предпринимателя;
  • сокращение имеющихся инфо-рисков до минимума, включая их полное исключение;
  • повышение уровня доверия к компании со стороны клиентов/заказчиков, потребителей, контролирующих органов и деловых партнеров;
  • возможность выхода на новые рынки сбыта, в том числе – международные, на которых обеспечение инфобезопасности является обязательным условиям;
  • создание благоприятного инвестиционного климата, привлечение инвестиций для расширения бизнеса;
  • непрерывный контроль качества услуг/работ, снижение затрат, оптимизация производственных процессов и многое другое.

С какими другими стандартами можно интегрировать ISO 27001?

Благодаря универсальности ISO 27001, его можно интегрировать и применять в комплексе с любыми другими стандартами группы ИСО включая базовый (ГОСТ Р ИСО 9001), а также «экоменеджмент» (ИСО 14001), СМК по безопасности и охраны труда по ГОСТ Р 54934-2012 (OHSAS 18001:2007) и иными.

Стоит отметить, что интеграция ИСО/МЭК 27001-2006 с другими стандартами обеспечивает максимальный эффект в процессе ведения бизнеса, позволяет получить больше конкурентных преимуществ.

Что изменится в компании после внедрения СМК по информационной безопасности?

Фирма достигнет максимальной эффективности в таких процессах, как:

  • обеспечение защиты от несанкционированного доступа к сведениям;
  • составление и автоматизация базы пользователей, имеющих право доступа;
  • структуризация имеющейся информации и удаление неактуальных сведений;
  • усиление защиты передачи важных сведений между заинтересованными сторонами;
  • актуализация имеющихся данных для более эффективного взаимодействия с партнерами по бизнесу;
  • оптимизация ЭДО – электронного документооборота, а также многоступенчатая защита к его доступу;
  • непрерывный мониторинг появления рисков и их оперативное устранение;
  • составление и соблюдение правил управления рисками;
  • и других.

Какие документы необходимо предоставить заявителю?

Для проведения процедуры необходимо предоставить специалистам «EAC Audit»:

  • письменную заявку;
  • сканы ОГРН/ИНН;
  • коды деятельности по ОКВЭД;
  • если требуется – лицензии/допуски на ведение деятельности;
  • сведения о применяемых на предприятиях мерах по обеспечению инфобезопасности;
  • документы на используемые помещения/оборудование/о штате и другие сведения и иные. 

Какие еще добровольные сертификаты можно оформить?

Это зависит от поставленных целей.

По желанию заявителя документ может быть оформлен в любой СДС – к примеру, компании для участия в тендерах и заключения договоров с новыми партнерами оформляют сертификаты НРНП, РПО, РДИ, РКОпп и иные.

Больше актуальной информации по сертификации ИСО вы можете получить у специалистов Центра по телефону или онлайн.

>Звоните. Консультации специалистов «EAC Audit» – бесплатные.

ГОСТ Р ИСО 27001 относится к универсальным стандартам. Его можно использовать в любой организации вне зависимости от сферы деятельности, выпускаемого ассортимента товаров или предоставляемых услуг. 
Но есть отдельные сферы деятельности, связанные с информационными рисками. Если работа компании связана с ними, то внедрение требований стандарта рекомендовано. Среди таких компаний:
•    финансовые и банковские учреждения;
•    научно-исследовательские институты;
•    исследовательские и испытательные лаборатории;
•    организации, работающие в сфере страхования;
•    службы доставки товара, документов и различных имущественных ценностей.
При сертификации внедренная на предприятии СМК оценивается на соответствие требованиям, которые предъявляются к ней стандартом ГОСТ Р ИСО. Среди них:
•    правильное определение рисков, для предотвращения которых внедрена СМК;
•    наличие у предприятия всех ресурсов, необходимых для поддержания эффективного функционирования СМК;
•    документирование процедур по нормам стандарта;
•    постоянное совершенствование разработанной политики в области СМК;
•    проведение действий для непрерывного улучшения работы системы.
Специалисты Центра в случае выявления несоответствий помогут скорректировать положения СМК для успешного прохождения сертификации.
Получение сертификата дает возможность:
•    сформировать положительную репутацию в любой сфере деятельности и продемонстрировать клиентам заинтересованность в качестве и безопасности предоставляемых услуг;
•    обеспечить соответствие деятельности компании требованиям законодательства;
•    принять участие в тендерах, для участия в которых наличие сертификата – обязательное условие;
•    минимизировать риски, связанные с информационными технологиями и безопасностью, сократить финансовые потери;
•    обеспечить проведение непрерывного контроля качества и безопасности.
Как и другие системы менеджмента качества, действующие на основании стандартов ИСО, СМК по ИСО 27001 универсальна. Это позволяет применять ее в комплексе с другими стандартами группы ИСО. 
Возможно как одновременное внедрение СМК, так и поэтапное создание интегрированной СМК (ИСМ) на предприятии. Во втором случае возможно объединение уже действующей на предприятии СМК с ИСО 9001, системой экологического менеджмента и иными. 
Внедрение ИСМ проводится одним из способов:
•    внедряется базовая СМК, с которой потом присоединяют другие системы;
•    сразу проводится разработка интегрированной СМК, состоящей из нескольких систем.
Для оформления документы необходимы:
•    письменная заявка;
•    скан ОГРН;
•    скан ИНН;
•    сведения о сфере деятельности компании – указывается список ОКВЭД;
•    сведения о штате сотрудников и тех специалистах, которые будут ответственны за проведение внутреннего аудита;
•    документы и записи, которые ведутся по уже внедренной СМК (при наличии);
•    прочие документы и сведения.
Полный список вы можете получить по электронной почте – просто оставьте заявку онлайн.

С этой статьей также читают

Комментарии

    Комментарии отсутствуют
Оставьте Ваш комментарий

алгоритм оформления

  • Заявка 1 Подать заявку
  • расчёт 2 рассчитать стоимость
  • договор 3 заключите договор
  • выполнение 4 1-2 дня на выполнение
  • согласование 5 проверка с клиентом
  • результат 6 получение документов
  • гарантии 7 укрепляем доверие
Кутлуева Елена Александровна
г. Екатеринбург
Написано 73 статей
Телефон: 88003020337