Подумайте, как вы защищаете корпоративную информацию своей фирмы? Работает ли протекция коммерческой тайны? В 80–90% случаев собственники бизнеса используют сомнительные инструменты для обеспечения информационной безопасности: ограничение доступа через установку паролей, зашифрованное соединение, контроль учетных записей системным администратором. Далеко не все организации создают резервные копии баз данных, используют криптостойкие алгоритмы шифрования и брандмауэры, хранят корпоративные сведения на собственных физических серверах.
История сертификата ISO 27000
Сертификация ISO 27000 восполняет пробелы в области IT–безопасности. Стандарт внедряет, развивает и поддерживает на предприятии СМИБ (Систему Менеджмента Информационной Безопасности). По словам Генеральных секретарей ИСО и МЭК, господина Роба Стила и Ронни Амита, «СМИБ-ы, построенные на базе стандарта ISO/IEC 27000, могут позвонить малому бизнесу успешно конкурировать на современных глобализованных рынках. Настоящее пособие призвано обеспечить «ключ» к этой двери».
В 2005 году стандарт ISO/IEC 27000 стал самым эффективным в истории сертификации IT-безопасности. До него максимально распространенным был английский стандарт BS 7799. Переходным стандартом был ISO 17799, который имел проблемную структуру. В результате появился ISO/IEC 27000, над которым работал комитет ISO и Международная электротехническая комиссия IEC.
Основные разделы ISO 27000
- Политика безопасности
- Организация информационной безопасности
- Управление ресурсами • Безопасность персонала
- Физическая безопасность и безопасность окружения
- Управление коммуникациями и операциями
- Управление доступом
- Приобретение, разработка и поддержка систем
- Управление инцидентами информационной безопасности
- Управление бесперебойной работой организации
- Соответствие нормативным требованиям
Как работает стандарт ISO 27000?
На первом этапе предприятию необходимо изучить документ ISO/IEC 27000:2013, чтобы познакомиться с постулатами сертификации и подготовиться к выполнению требований. Стандарт поможет вам управлять рисками — в этом и заключается основная суть стандартизации ISO:
- Следуя разделам стандарта, вы анализируете работу предприятия с информационной безопасностью.
- Последовательно вы исключите вероятность риска.
- Исключив риски, вы перейдете к контролю над процессами ИБ.
Внедрить рекомендации нужно по модели PDCA (Plan–Do–Check–Act). В отличие от других стандартов ISO 27000 требует только одного цикла по схеме PDCA. Наладить работу небольшой фирмы можно за 2–3 недели, а результат работы будет ощутим на уровне всего производства. Обратите внимание, что некоторые СРО строителей в Москве и Санкт-Петербурге могут потребовать от кандидатов наличия данного сертификата.
Отраслевые редакции ISO 27000
Стандарт ISO 27000 универсален, однако существует специальная версия документа для здравоохранения. Медицинские центры, клиники, фармацевтические компании и производства применяют руководство по информатизации здоровья ISO/IEC 27799. Оно основано на документе ISO/IEC 27002. Осознать важность сертификации ISO 27000 может любой руководитель, которого волнует защита коммерческой информации. Примите решение пройти сертификацию ISO/IEC 27000 на предприятии и получите поддержку специалистов НЦЛ на каждом этапе внедрения стандарта.
