ISO/IEC 27001 – система управления информационной безопасностью

ISO / IEC 27001 – стандарт, устанавливающий требования к системе управления информационной безопасностью (СУИБ). На данный момент действует редакция 2013 года. СУИБ применяет системный подход к управлению конфиденциальной информацией компании. Он помогает управлять безопасностью активов, финансовой информацией, интеллектуальной собственностью, сведениями работников или информацией, доверенной третьими лицами.

ISO 27001 используется малыми, средними и крупными предприятиям в любом секторе экономики.

Как и другие стандарты на системы менеджмента ISO, сертификат по ISO / IEC 27001 не является обязательным. Некоторые организации предпочитают внедрять этот стандарт, чтобы извлечь выгоду из более эффективного управления информационной безопасностью, другие для того, чтобы получить сертификацию и успокоить клиентов и сотрудников в том, что информация находится в безопасности.

Процесс планирования в СУИБ состоит шести частей:

1. Определение политики безопасности.
2. Определение сферы охвата СУИБ.
3. Проведение оценки рисков.
4. Управление выявленными рисками.
5. Выбор целей и средств управления, которые будут реализованы.
6. Документальная подготовка применения плана.

Стандарт состоит из 12 основных разделов:

1. Риски
2. Политика безопасности
3. Организация информационной безопасности
4. Управление активами
5. Безопасность человеческих ресурсов
6. Физическая и экологическая безопасность
7. Управление связями и операциями
8. Контроль доступа
9. Разработка и сопровождение информационных систем сбора
10. Управление информационной безопасностью
11. Управление непрерывностью бизнеса
12. Соблюдение

В СУИБ используется общая для всех стандартов на системы менеджмента структура. Это сделано для того, чтобы помочь организациям, желающим внедрить одновременно более одной системы менеджмента.