Международный стандарт ISO/IEC 27001:2005

Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности (СМИБ) в контексте существующих бизнес-рисков организации.
Требования данного стандарта имеют общий характер и применимы ко всем организациям, независимо от их типа, размера и формы собственности.
По стандарту ISO/IEC 27001:2005 проводится официальная сертификация СМИБ.
ISO/IEC 27001:2005 представляет собой перечень требований к СМИБ, обязательных для сертификации.
В Приложении А стандарта приведен перечень методов управления, заимствованный из стандарта ISO/IEC 17799:2005 “Информационная технология - Методы защиты - Практическое руководство для управления системой защиты информации – Требования”, которые организация может выбрать для уменьшения рисков информационной безопасности.
Совместимость с другими стандартами на системы менеджмента
Международный стандарт ISO/IEC 27001:2005 совместим (интегрирован) со стандартами ISO 9001 и ISO 14000. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках существующих систем менеджмента.
Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005
Сертификация на соответствие Международного стандарта ISO/IEC 27001:2005 позволяет наглядно продемонстрировать деловым партнерам, регулирующим государственным органам и клиентам, что в компании налажено эффективное управление информационной безопасностью.
Интеграция ISO/IEC 27001:2005 и ISO 9001:2008
Внедрение и сертификация по Международному стандарту ISO/IEC 27001:2005 на базе внедренной системы менеджмента качества (СМК) по ISO 9001 предполагает значительное снижение издержек предприятия и общей стоимости проекта по внедрению и сертификации СМИБ.
Стандарт ИСО 27001 гармонизирован со стандартом СМК ИСО 9001:2008 и базируется на его основных принципах. Более того, обязательные процедуры СМК требуются и Международным стандартом ISO/IEC 27001:2005. Структура документации СМИБ аналогична структуре СМК. Большая часть документации, требуемая для СМИБ, может быть заимствована из действующей СМК организации. Отличительной чертой документации СМИБ является менеджмент рисков, требующий наличия Таблицы оценки рисков, Плана по обработке рисков и Заявления о принятии остаточных рисков.
Выгоды внедрения Международного стандарта ISO/IEC 27001:2005
СМИБ на основе Международного стандарта ISO/IEC 27001:2005 позволит:
  • независимое подтверждение факта, что в организации должным образом выявлены, оценены и системным образом управляются риски, т.е. соответствующие процедуры ИБ разработаны, внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом; - доказательство стремления высшего руководства организации к обеспечению ИБ в требуемом объеме для всей организации в соответствии с установленными требованиями;
  • доказательство выполнения требований действующих федеральных законов и нормативных документов в области ИБ;
  • демонстрация определенного уровня ИБ для обеспечения конфиденциальности информации клиентов и контрагентов организации;
  • демонстрация проведения регулярных аудитов ИБ, оценки результативности и постоянных улучшений СМИБ.