Март 25, 2020

Внедрение ISO 27001 – предпосылки, этапы, опасности.

Система менеджмента информационной безопаности СТБ ИСО 27001-2016 внедрение

ISO/IEC 27001- это международный стандарт, регламентирующий процесс управления информационной безопасностью компании. Он обеспечивает защиту информации путем выявления и предотвращения рисков ее распространения, тем самым решая ряд сопутствующих трудностей организаций всех масштабов и видов деятельности.

Если стандарт Вам интересен, но решение о его необходимости для Вашего бизнеса Вы еще не готовы принять, давайте обсудим, что нужно знать о ISO 27001, чтобы начать внедрение обосновано:

1. определить цель внедрения системы менеджмента информационной безопасности (СМИБ) и задачи, которые данная система может решить. Об основных проблемах для каждой отрасли, которые закроет стандарт 27001, можно прочитать здесь.

2. предусмотреть, что для полноценного внедрения и жизнедеятельности СМИБ в деятельность конкретной компании может возникнуть необходимость подключать сотрудников, задействованных в основных прибыльных проектах и/или дополнительных инвестициях в безопасность. Необходимость и объем трудовых и финансовых вложений можно выяснить заранее путем проведения предварительного аудита – узнать его цену и суть можно здесь.

3. знать, как проходит процесс внедрения, чтобы понимать на «что» Вы подписываетесь. Потому кратко перечислим этапы разработки системы управления информационной безопасности (СУИБ), она же СМИБ (ISMS):

Система управления информационной безопасностью ISO/IEC 27001:2013 внедрение

1. Разработка плана внедрения. Он должен содержать сроки, задачи и ответственных за них. Это делается для того, чтобы процесс не затянулся на годы и каждый знал за какую задачу на пути достижения цели он несет ответственность.

2. Определение области применения ISMS - если Ваша организация имеет множество направлений деятельности, то для сокращения издержек можно выбрать одну или несколько из них (при условии достижения цели), а не включать все.

3. Составление политик информационной безопасности верхнего уровня, которые должны выявить основные проблемы информационной безопасности в Вашей компании.

4. Написание правил по выявлению потенциальных информационных проблем (оценке рисков): необходимо установить правила их идентификации и вероятности возникновения, а также определить приемлемый уровень риска для активов.

5. Разработка действий по предотвращению возникновения проблем (обработка рисков) или уменьшение вероятности возникновения неприемлемых рисков путем планирования использования средств контроля из Приложения A.

6. Далее необходима проработка элементов управления из Приложения А: распределение, какие из них применимы, а какие нет.

7. Разработка плана обработки рисков или плана реализации, ориентированного на Ваши элементы управления, сроки и ответственных.

8. Выбор способов измерения эффективности средств контроля – обязательное действие для подтверждения числового выполнения цели.

9. Реализация применимых элементов управления и обязательных процедур или другими словами внедрение новой модели поведения в Вашей организации.

10. Воплощение в жизнь программы обучения и повышения осведомленности - обучение персонала применению нововведений и объяснение причин их возникновения.

11. Выполнение всех ежедневных операций, предусмотренных СУИБ, включающее ведение «записей» (логов), которые будут являться помощью в отслеживании выполнения Вашими сотрудниками и партнерами своих задач.

12. Мониторинг Вашей ISMS на предмет достижения первоначальных целей - необходимо проверить, достигают ли полученные результаты того, что было установлено в целях, и если нет, то необходимо выполнить корректирующие действия.

13. Проведение внутреннего аудита для проверки осведомленности о существующих или потенциальных сбоях и формировании корректирующих действиях по их устранению.

14. Выполнение корректирующих и/или улучшающих действий и не единожды, а систематически. Т.к. цель системы управления - гарантировать, что все, что неправильно - исправлено, а лучше предотвращено.

ISO/IEC 27001:2013 разработка, внедрение, сертификация

Теперь Вы имеете представление о том, что необходимо будет сделать для получения полноценной действующей системы менеджмента информационной безопасности, которая сможет пройти сертификацию как в национальной системе СТБ ИСО 27001-2016, так и по международному стандарту ISO/IEC 27001:2013, и принести пользу, решив поставленные Вами и/или Вашими партнерами задачи.

Мы создали множество работоспособных СУИБ, политики которых были признаны такими организациями, как AMAZON и MICROSOFT. Нашими постоянными партнерами в 2019 году стали еще 4 крупных игрока белорусского экспортного рынка информационных услуг. Если и Вы желаете получить достойную систему безопасности в краткосрочной перспективе или ответы на оставшиеся вопросы, звоните нам.

И мы не только проконсультируем Вас, но и предоставим полную программу наших работ по внедрению СМИБ и индивидуальное коммерческое предложение под Ваши потребности.