Система менеджмента информационной безопасности

Стандарты серии ISO/IEC 27001.

Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования» был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Данный стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации. Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям, не зависимо от их типа, размера, формы собственности.

По стандарту ISO/IEC 27001:2013 проводится сертификация системы управления информационной безопасностью.

Сегодня существует большой список стандартов, основные из них:

1. ISO/IEC 27000:2009 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Обзор и словарь»;

2. ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006) «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

3. ISO/IEC 27002:2005 «Информационные технологии. Свод правил по управлению защитой информации»;

4. ISO/IEC 27003:2010 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности».

Внедренная и сертифицированная система менеджмента информационной безопасности позволяет:

1. Определить основные угрозы безопасности для бизнес-процессов;

2. Повысить уровень защищенности для внешних угроз;

3. Демонстрировать способность организации управления информационными рисками.