Назначение ISO 27001

21 марта, 2016
Назначение ISO 27001

Информация является ценным активом, несанкционированный доступ к которому может нанести серьезный ущерб бизнесу. Надлежащее управление собственной информационной безопасностью дает компании свободу развития, позволяет внедрять инновации и расширять клиентскую базу в полной уверенности, что вся конфиденциальная информация так и останется конфиденциальной. Для этого разработаны соответствующие стандарты.

Семейство стандартов ISO 27000 помогает организациям поддерживать свои информационные ресурсы в безопасности. Использование этой серии стандартов помогает организации управлять безопасностью активов, таких как финансовая информация, интеллектуальная собственность, сведения о сотрудниках или информация, доверенная предприятию третьими лицами. Стандарт ISO 27001 – самый известный в серии, которая регламентирует требования, в соответствии с которыми должны функционировать системы управления информационной безопасностью. Его цель – системный подход к управлению конфиденциальной информацией компании, с целью сохранения безопасности, путем применения процессов управления рисками.

Назначение ISO 27001

ISO 27001 (более известный как ISO/IEC 27001: 2005) является спецификацией для системы управления информационной безопасностью. Это основа специфической политики организации и процедур, включающих в себя все юридические, физические и технические средства, участвующие в процессах управления информационными рисками предприятия. ISO 27001 разрабатывался для обеспечения модели по созданию, внедрению, эксплуатации, анализу, поддержанию и совершенствованию систем управления информационной безопасностью. ISO 27001 использует риск-ориентированный подход и является технологически нейтральным. Спецификация определяет процесс планирования, который состоит из шести частей. Первая – определение политики безопасности компании. Вторая – определение сферы охвата. Третья – проведение оценки риска. Четвертая – управление выявленными рисками. Пятая – выбор целей и средств управления, которые будут реализованы. Шестая – подготовка заявления о применимости.

Спецификация ISO 27001 рассматривает такие принципы обеспечения информационной безопасности, как личная ответственность менеджмента, регулярный внутренний аудит, постоянное совершенствование, а также корректирующие и предупреждающие действия. Он требует сотрудничества между всеми подразделениями организации. ISO 27001 не предписывает, какие конкретные меры должны быть приняты, чтобы осуществлять контроль за информационной безопасностью. Он предоставляет лишь перечень элементов управления, которые подробно рассматриваются в сопроводительном стандарте ISO/IEC 27002: 2005, который предназначен уже для применения на практике. Этот второй стандарт описывает полный набор средств для контроля за безопасностью информации. Компании обязаны применять эти средства управления надлежащим образом в соответствии с их специфическими рисками. Для получения сертификата по этому стандарту рекомендуется внешний аудит.

Ответить

Ваш email не будет опубликован. Обязательные поля отмечены *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>