ISO 27001

ISO [International Organization for Standardization] 27001

Стандарт ISO 27001 — это перечень требований к управлению информацией в организации. Выполнение этих требований помогает повысить безопасность информации и уменьшить риски утраты или нежелательной публикации конфиденциальных данных, улучшить системы сохранности данных, а значит – повысить доверие заказчиков и контрагентов.

Назначение стандарта

В стандарте ISO 27001 собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель стандарта

Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

  • Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
  • Целостность — обеспечение точности и полноты информации, а также методов её обработки.
  • Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

  • На каком направлении информационной безопасности требуется сосредоточить внимание;
  • Сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Преимущества стандарта:

  • Повышает авторитет компании на отечественном и международном рынках;
  • Выявляет угрозы безопасности для текущих бизнес-процессов;
  • Позволяет находить  и нейтрализовать слабые места в системе информационной безопасности;
  • Чётко определяет ответственность сотрудников за нарушение информационной безопасности;
  • Демонстрирует партнерам и клиентам свое серьезное отношение к информационной безопасности;
  • Подчеркивает чистоту и прозрачность бизнеса перед законом.