ИСО/МЭК 27001 в Воронеже
ISO/IEC 27001 - это международный стандарт по управлению информационной безопасностью, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Он устанавливает требования к системе управления информационной безопасностью, предназначенной для защиты конфиденциальности, целостности и доступности информации организации. Стандарт был впервые опубликован в 2005 году и пересмотрен впоследствии.
Получение сертификата ИСО/МЭК 27001
Основные этапы
- Разработка системы менеджмента информационной безопасности
- Подготовка необходимого пакета документов
- Прохождение сертификационного аудита
- Получение сертификата соответствия
Необходимые документы
Политики и цели в области ИБ
- Политика информационной безопасности
- Цели в области ИБ
- Обоснование исключений из области сертификации
Оценка рисков ИБ
- Методика оценки рисков ИБ
- Результаты оценки рисков
- План обработки рисков
Документация СМИБ
- Положение о СМИБ
- Распределение ответственности в СМИБ
- Описание процессов СМИБ
- Регламенты, инструкции, положения по ИБ
Записи СМИБ
- Отчеты о внутренних аудитах СМИБ
- Записи об инцидентах ИБ
- Протоколы анализа СМИБ со стороны руководства
Персонал и инфраструктура
- Описание организационной структуры
- Политика управления персоналом в части ИБ
- Регламент технического обеспечения ИБ
Особенности в разных странах
Требования к пакету документов для оформления сертификата ИСО/МЭК 27001 могут различаться в зависимости от страны.
В России обычно запрашивают документы, перечисленные в разделе "Необходимые документы".
В европейских странах уделяют больше внимания оценке рисков, методике и планам их обработки.
В США тщательно анализируют организационную структуру и политики управления персоналом в контексте обеспечения ИБ.
При первичной сертификации обязательно предоставление полного комплекта документации СМИБ. При повторных аудитах по возможности акцент делается на изменениях с предыдущего периода.