Система менеджмента информационной безопасности ISO 27001
В Российской Федерации, как и в других странах, регулирование системы менеджмента информационной безопасности регламентируется международным стандартом ISO/IEC 27001:2013. Нормы этого стандарта устанавливают требования к созданию, внедрению, последующей поддержке и модернизации систем менеджмента информационной безопасности предприятий. Кроме этого, согласно стандарту проводится оценка возможных рисков информационной безопасности (ИБ) в соответствии со спецификацией конкретного предприятия.
Оценка рисков ИБ
Согласно требованиям ISO 27001 предприятия вырабатывают стратегию и алгоритм оценки возможных рисков информационной безопасности, которые должны включать:
- критерии, по которым определяются риски для ИБ предприятия;
- гарантии обоснованности и однозначной оценки определяемых рисков;
- идентификацию рисков, связанных с потерей конфиденциальности данных, целостности информационных массивов и возможности дальнейшего бесперебойного использования информации;
- определение источников, из которых исходят те или иные риски;
- расстановка рисков по приоритетам для их последующего анализа;
- обработка и анализ идентифицированных рисков.
Все данные, которые получаются предприятием в ходе выявления и оценки рисков, должны сохранятся.
Анализ рисков ИБ
Исходя из вероятных рисков информационной безопасности, на предприятии разрабатывается комплекс мер по их обработке. Он включает методику и систему управления процессом анализа выявленных рисков. Предприятие должно составить обоснованную аргументацию применения выбранной методики. Она должна включать детальный обзор средств управления обработки рисков и возможность их применения на конкретном предприятии. Дополнительно разрабатывается детализированный план по последовательной обработке рисков согласно их приоритетам.
Оценка результатов
Эффективность внедрения системы менеджмента ISO/IEC 27001:2013 на предприятии можно оценить посредством:
- выполнения внутреннего аудита;
- непрерывного мониторинга и сбора данных;
- их оперативной обработки и оценки полученной информации;
- тщательного анализа проведенного менеджмента.
В случае выявления несоответствий требованиям стандарта, следует принять меры по их устранению.
Чтобы пройти сертификацию в системе менеджмента ISO/IEC 27001:2013 можно обратиться в нашу компанию. Мы имеем все необходимые разрешения и аккредитации на проведение сертификации ISO, можем разработать необходимую документацию для организаций с любой по сложности структурой.
Информация несёт исключительно информационный характер. За подробной консультацией обращайтесь к специалисту.
Наш сайт: https://standardrus.ru/