Сертификат ISO/IEC 27001 подтверждает, что Ваша система обеспечения информационной безопасности была сертифицирована по стандартам передовой практики и признана соответствующей их требованиям. Сертификат, выдаваемый независимым сертификационным обществом, подтверждает, что Вами предприняты необходимые меры по защите конфиденциальной информации от несанкционированного доступа и изменений.
В данном стандарте предусмотрен комплексный подход к созданию, внедрению, использованию, мониторингу, изменению, обеспечению функционирования и совершенствованию систем информационной безопасности в организациях.
ISO/IEC 27001 введен Международной организацией по стандартизации (ISO) и является стандартом, используемым при сертификации. Он заменяет BS 7799 и представляет собой международный стандарт систем обеспечения информационной безопасности. Базируясь на BS 7799, он был переработан для его согласования с другими международными стандартами. Были включены некоторые новые виды контроля, т.е. особое внимание уделяется управлению инцидентами в сфере информационной безопасности, а также основным принципам OECD.
Кроме того, в данном стандарте учитываются положения других стандартов, таких как ISO/IEC 17799:2005, ISO/IEC 13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR 18044:2004, а также положения “Директив OECD по проблеме безопасности информационных систем и сетей: формирование культуры обеспечения безопасности”, которые содержат указания по обеспечению информационной безопасности.
Защита Ваших активов
Данный стандарт предполагает комплексный подход к информационной безопасности. Подлежащие защите активы могут варьироваться от цифровой информации, печатных документов и физического имущества (компьютеры и информационные сети) до знаний, которыми обладают отдельные сотрудники. Вопросы, которые Вам необходимо рассмотреть, охватывают спектр от повышения компетентности персонала до технической защиты от злоумышленного использования компьютеров.
ISO/IEC 27001 поможет Вам защитить Вашу информацию на основе следующих принципов:
Конфиденциальность гарантирует, что доступ к информации получают только те, кто уполномочен иметь доступ.
Целостность обеспечивает точность и полноту информации и методов обработки.
Доступность гарантирует авторизованным пользователям доступ к информации и сопутствующим ресурсам, когда это необходимо.
Согласование с другими стандартами систем менеджмента
ISO/IEC 27001 приведен в соответствие с другими системами менеджмента и обеспечивает согласованное и интегрированное внедрение и реализацию наряду с другими соответствующими стандартами управления. Результатом чего является:
Гармонизация со стандартами систем менеджмента, такими как ISO 9001 и ISO 14001.
Особое внимание постоянному совершенствованию процессов Вашей системы обеспечения информационной безопасностиystem.
Разъяснения требований документации и официальных материалов.
Применение процессов оценки рисков и управления при использовании специальной модели планирования, исполнения, проверки и принятия необходимых мер (Plan, Do, Check, Act - PDCA)..
Что делать дальше?
Для проведения сертификации третьей стороной вам необходимо внедрить эффективную систему обеспечения информационной безопасности, которая соответствует требованиям данного стандарта. Первым шагом является начало процесса подготовки к сертификации.