Сертификация по ISO 27001

Сертификация по ISO 27001

Международный стандарт менеджмента безопасности ISO/IEC 27001 предназначен для разработки системы управления информационной безопасностью организации вне зависимости от ее сферы деятельности.


Стандарты ISO 27001 и ISO 17799

Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

Положения стандарта описывают такие аспекты, как:

  • Политика безопасности
  • Организационные методы обеспечения информационной безопасности
  • Управление ресурсами
  • Пользователи информационной системы
  • Физическая безопасность
  • Управление коммуникациями и процессами
  • Контроль доступа
  • Приобретение, разработка и сопровождение информационных систем
  • Управление инцидентами информационной безопасности
  • Управление непрерывностью ведения безнеса
  • Соответствие требованиям
Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации, не вошедших в ISO 17799; дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью (СУИБ).


Преимущества сертификации

Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.

Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании


Методика проведения проверок соответствия системы управления информационной безопасностью требованиям международного стандарта ISO/IEC 27001

Для оценки соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также пользователей информационной системы Заказчика, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности информационной системы. Итоговый вывод о выполнении требований стандарта ISO/IEC 27001 делается в случае подтверждения выполнения требований на практике.


Как пройти сертификацию

Для получения сертификата соответствия ISO 27001 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, разработать и внедрить систему управления информационной безопасностью и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.

Предварительный этап, который заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью, может выполнить специализированная security-компания, имеющая опыт в проведении подобных работ. Затем, после разработки и внедрения системы управления ИБ, необходимо провести итоговую проверку формального соответствия ISO 27001, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) – уполномоченном государственном органе Великобритании.

Получите техническую консультацию