TRN.com.ua – тренинги в Украине

TÜV NORD - Мы делаем мир безопаснее.

ISO/IEC 27001 Cистема менеджмента информационной безопасности PDF Печать E-mail

Область применения инструмента

Инструмент предназначен для предприятий, понимающих ценность информации и информационных потоков для бизнеса.

Необходимые предпосылки для внедрения

На начальных стадиях внедрения ISO/IEC 27001 требуется отвлечение персонала, работающего во всех подразделениях компании.

При выборе данного инструмента необходимо помнить о том, что для большинства предприятий проблемы, связанные с информацией, лежат в плоскости несвоевременного получения информации и ошибочных (некорректных) данных.

Выгоды от использования

Снизится и оптимизируется стоимость поддержки системы безопасности. Вы будете тратить деньги только на те направления безопасности, которые закроют самые опасные риски для Вашего конкретного предприятия. Объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.

Информационные активы станут понятными для менеджмента компании.
Угрозы и уязвимости безопасности для существующих бизнес-процессов будут регулярно выявляться.
Риски будут просчитываться и решения будут приниматься на основе бизнес-целей компании, в первую очередь финансовых целей.
Управление информационными активами предприятия в критичных ситуациях будет эффективным благодаря разработке, внедрению и тестированию планов по восстановлению бизнеса.
Будет проводиться процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности в регулярном режиме).
Будет обеспечена прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту.
Появится защита от рейдерских атак.
Предприятие получит международное признание и повысит авторитет как на внутреннем рынке, так и на внешних рынках.

Интеграция в систему менеджмента предприятия

Подсистема безопасности интегрируется в общую систему менеджмента.
Стандарт ISO 27001 имеет большую часть общих процессов с системой менеджмента качества предприятия. Одновременное использование ISO 27001, ISO 9001 приведет к решению проблем по многим направлениям менеджмента.

Краткое описание инструмента

ISO/IEC 27001 (ISO 27001) заставит работать, как часы, механизм бумажного и электронного документооборота предприятия.
Сегодняшние реалии таковы, что и финансовые, и материальные, и информационные активы нуждаются в защите. Надежная защита информационных активов существенна для работы предприятия. Поэтому несоответствующий уровень защиты – часто недооцененный фактор риска, который может стать угрозой для существования.

Подробное описание инструмента

Обеспечение безопасности информации и других объектов, относящихся к информации, - крайне важная задача для любого бизнеса. Каждый владелец бизнеса и назначенное им руководство уже не может закрывать глаза на текущее состояние информационных систем, они должны видеть и понимать нужды предприятия в информационном обеспечении, решать существующие информационные проблемы. Конечно же, в какой-то мере каждое предприятие уже работает над обеспечением информационной безопасности. Однако этого недостаточно.

Во всеобщем понимании информационная безопасность связана с ограничением доступа третьих лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью. Передовые мировые корпорации решают гораздо больший комплекс проблем, связанный с информационной безопасностью. Их работа над безопасностью экономит средства предприятия как в процессе работы, так и посредством нейтрализации неприятных последствий.

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы.
Понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.

Важно отметить, что, кроме привычной нам конфиденциальности стандарт четко указывает на обязательность работы над другими, зачастую более важными свойства. Эти свойства – доступность и целостность.

Рассмотрим живые примеры. Вы на своем рабочем месте, выполняя функциональные обязанности, зачастую получаете информацию от своего подчиненного или соседнего подразделения не вовремя. Естественно, в результате это отражается на вашем рабочем процессе. Этот инцидент показывает пример нарушения доступности информации. С другой стороны, уверен, бывают случаи когда Вы получаете информацию вовремя, но она содержит ошибки. Эти ошибки могут быть вызваны человеческим фактором, сбоем в работе компьютера или другой причиной или целым рядом причин. Этот инцидент показывает пример нарушения целостности информации.
Информационная безопасность – ни в коем случае не должна ассоциироваться с параноидальным желанием спрятать, закрыть и удалить коммерческую информацию. Т.к. при таком подходе благие намерения по защите информации приведут как минимум к потере доступности многих информационных ресурсов, что может привести к гораздо более тяжелым финансовым последствиям, чем их утечка. Всегда нужно помнить о разумном равновесии, обеспечивая одновременно все три свойства: конфиденциальность, целостность, доступность.