ISO 27001 - 2005 ISMS
ISO/IEC 27001, часть ISO/IEC 27000 семейства стандартов, системы управления информационной безопасностью (ISMS), опубликованный в октябре 2005 года Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC Его полное имя ISO / IEC 27001:2005 - Информационная технология - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - требования, но стандарт широко известен как "ISO 27001".
ISO/IEC 27001 формально специфицирует систему управления, которая предназначена для организации безопасности информации при управляемом контроле. Будучи формальной спецификацией, стандарт передает специальные требования. Организации, которые претендуют на принятие ISO / IEC 27001 могут быть официально проверенны и сертифицированны в соответствии с требованиями международного стандарта.
В большинстве организаций есть много элементов управления информационной безопасностью. Однако без ISMS управление, как правило, несколько дезорганизовано и непоследователено, часто осуществляется как решение конкретных ситуаций или просто как вопрос наличия. Прослушать
Модели на данном этапе обычно определяются как "специальный". Управления безопасностью в действии относится к некоторым аспектам IT или безопасности данных, в частности, оставляя не- IT информационные активы менее защищенными в целом (например, документы и собственные знания). Непрерывное бизнес-планирование и физическая безопасность, на пример, может осуществляться совершенно независимо от IT или независимо от информационной безопасности, в то время как человеческие ресурсы могут множество указаний для определения роли информационной безопасности и обязанностей в рамках всей организации
ISO/IEC 27001 требует:
- Систематического мониторинга рисков по информационной безопасности, учитывая причины, развитие и вытекающие из него следствия;
- Разработка и внедрение последовательного и полного набора менеджмента информационной безопасностью и/или другие формы риска (таких, как предотвращение или передача риска), которые считаются неприемлемыми;
- Принятие всеобъемлющего процесса управления, чтобы удостовериться, что управление информационной безопасностью продолжается для удовлетворения потребностей организации на постоянной основе.
ISO / IEC 27001:2005 предназначен, чтобы служить для :
- Систематически изучать информацию организации риски безопасности, с учетом угроз, уязвимостей и последствий;
- Разработка и осуществление согласованных и полный набор контролей информационной безопасности
- использования в рамках организации для формулировния требования и целей к безопасности;
- использования в рамках организации, как способ чтобы удостоверитсягарантся, что риски безопасности являются экономически эффективное управляемыми;
- использования в рамках организации для обеспечения соблюдения законов и правил;
- использование в рамках организаций как основу процесса для реализации и управления контролем, чтобы удостоверится что конкретные цели безопасности организации сходярся;
- определение новых процессов безопасности управления информацией;
- выявление и уточнение существующих информационных процессов управления безопасностью;
- использование управления организациями с целью определения статуса, управления деятельностю информационной безопасностью;
- использования внутренних и внешних аудиторов организаций с целью определения степени соблюдения политики, указаний и стандартов, принятых организацией;
- использования организациями, для предоставки соответствующей информации о политике информационной безопасности, директивах, стандартов и процедур для торговых партнеров и других организаций, с которыми они взаимодействуют для оперативных или коммерческих целях;
- реализация информационная безопасностиь благоприятная для бизнеса;
- использования организациями, предоставлять соответствующую информацию о информационной безопасности клиентам.
Преимущества ISO 27000
Преимущества стандартизации и осуществления одного или нескольких из ISO 27000 серий широки и разнообразны. Хотя они, как правило, отличаются от организации к организации, многие из них общие.
Ниже приведен список потенциальных выгод:
- Обеспечение: Управление можете быть гарантированным в качестве системы, бизнес-единица, или другие лица, если следовать признанной системе или подходу.
- Соблюдение или сертификации против, и международный стандарт часто используется руководством, чтобы продемонстрировать должную осмотрительность.
- Скамья Артикул: организации часто используют стандарт в качестве меры их статусов в рамках своих равных сообществ.
- Он может быть использован в качестве уступка для текущей позиции и прогресса.
- Мировоззрение: По причине реализация ISO 27001 (и других стандартов ISO 27000) стремится привлечь как управление бизнесом и технического персонала, больше IT и Бизнесс уровнения частых результатов.
- Соблюдение: Может показаться странным перечислять это как первое преимущество, но это часто паказывает быстрейший "возврат инвестиций" - если организация должна соледовать различным правилам, касающихся защиты данных, конфиденциальности и управления IT (особенно, если это финансовые, здравоохранения или правительственная организация), тогда ISO 27001 может принести в методологии, которая позволяет сделать это в наиболее эффективным способом.
- Преимущества маркетинга: В рынке, который становится все более и более конкурентоспособными, иногда очень трудно найти что-то, что будет отличать вас в глазах ваших клиентов. ИСО 27001 может быть действительно единственной точкаой продажи, особенно, если Вы обращаетесь с конфиденциальной информацией клиентов.
- Снижение расходов: Информационная безопасность, как правило, рассматривается как стоимость без очевидных финансовых выгод Однако, есть финансовая выгода, если вы снизитье расходы, связанные с инцидентами. Вы, наверное действительно имеете перерыв в обслуживании, случайные утечки информации, или недовольных сотрудников. Или недовольных бывших сотрудников. Правда, до сих пор нет методологии и / или технологии, чтобы подсчитать, сколько денег можно было бы сэкономить, если вы предотвратили бы подобные инциденты.But it always sounds good if you bring such cases to management's attention. Но всегда звучит хорошо, если ты принесли такие случаи ко вниманию руководства.
- Принести ваш бизнес в порядок: Положив свой бизнес в порядке: Это, пожалуй, самый недооцененный - если вы компания, которая резко возрастает в течение последних нескольких лет, у вас могут возникнуть такие проблемы, как - кто должен решать, что, кто несет ответственность за определенные доступ к информации, кто должен разрешить доступ к информационным системам и т.д.
- Взаимодействие: Это общее благо стандартизации. Идея в том, что системы с различными сторонами, более вероятно, сочетаются друг с другом, если они следуют общей установке.