Сертификация системы менеджмента информационной безопасности на предприятии
Любая организация, использующая в своей деятельности IT-решения, испытывает необходимость в обеспечении их безопасности. Риски, с которыми может столкнуться компания, бывают самые разные, начиная от вирусной эпидемии внутри корпоративной сети и закачивая простоем работы из-за перебоев электропитания. В любом случае, необеспечение в должной степени информационной безопасности на предприятии влечет серьезные финансовые потери и угрозу деловой репутации.
Минимизировать бизнес-риски позволит сертифицированная и успешно внедренная система менеджмента безопасности в информационной среде организации.
Международный стандарт ISO/IEC 27001:2013
За основу данного стандарта была взята британская система требований BS – 7799, разработкой документа занимали сразу две международные организации ISO и IEC, чем и обусловлено его название. В нормативе прописаны требования к документированной системе управления безопасностью информационного пространства на предприятии с учетом потенциальных бизнес-рисков в данной сфере. Стандарт обладает общим характером, поэтому может быть внедрен в любой компании, независимо от организационно-правой формы, вида коммерческой деятельности, оборота прибыли и других критериев.
Этапы построения и сертификации
Если руководство компании принимает решение о необходимости получения сертификата ISO/IEC 27001:2013, необходимо пройти ряд этапов по построению, внедрению системы управления и подготовки документов для сертификации.
Итак, для построения системы необходимо выполнить следующие действия:
1. Определить область деятельности системы менеджмента и провести обследование компании в данной области;
2. Разработать и согласовать аналитический отчет, который должен содержать оценку всех возможных рисков и потенциальных угроз;
3. Оценить, насколько деятельность компании по защите IT-систем на текущий момент соответствует требованиям ISO 27001, а также разработать Программу повышения зрелости системы;
4. Выбор конкретных мер из перечня Приложения А к стандарту, которые позволят снизить риски предприятия, выбор технических средств;
5. Разработка и утверждение Положения о применимости;
6. Обучение внутренних аудиторов компании и проведение аудитов;
7. Выполнение конкретных работ по разработанной программе повышения зрелости системы управления.
Сертификация системы менеджмента ИБ включает следующие этапы:
• выбор аттестованной организации, которая будет проводить сертификацию;
• предсертификационный аудит, устранение замечаний, доработки системы;
• сертификационный аудит
• устранение замечаний, которые были получены при сертификационном аудите;
• получение сертификата, поддержание сертифицированной и внедренной системы.
Что дает сертифицированная и успешно внедренная система управления ИБ?
1. Выявление основных рисков для информационной безопасности бизнес-процессов компании;
2. Определение методов и средств защиты от угроз, контроля управления потенциальными рисками;
3. Возможность демонстрации своим клиентам и контрагентам способности предприятия управлять информационными рисками, сохранять конфиденциальность и т.д.;
4. Обеспечить непрерывность бизнес-процессов в любых обстоятельствах, в том числе при перебоях электропитания, пожаре, затоплении, атаке хакеров и полной утере данных, незаконном нарушении конфиденциальности скрытой информации и т.д.
5. Обеспечить безопасность также других аспектов обмена информации на предприятии, например, ведения переговоров в общественных местах, безопасный отбор персонала и т.д.
Добавить комментарий
