Розробка системи ISO 27001

Стандарт ISO 27001 містить вимоги до управління системою інформаційної безпеки в організації. Виконання цих вимог допомагає керувати параметрами безпеки інформації, такими як конфіденційність, цілісність і доступність з урахуванням ризиків, покращити збереження даних, а значить - підвищити довіру замовників, контрагентів та інших стейкхолдерів.

Система може бути застосована до всіх організацій, які працюють з будь-якими даними, в тому числі з персональними.

Навіть якщо ви вважаєте, що ваша інформація не представляє інтересу для зловмисників, тому що ви не зберігайте, наприклад, дані про платіжні картки замовників, це не означає, що ваші системи не вимагають захисту.

Якщо ви робите і / або поширюєте інформаційні продукти і послуги, створюєте електронний контент, ведете електронний документообіг, вам необхідно думати про ефективне управління і захисту інформації. Кращий спосіб зробити це - впровадити вимоги універсального стандарту ISO / IEC 27001: 2013 / COR 1: 2014. Він визначає вимоги до процесів управління інформацією, тому його може застосовувати організаціях будь-якого типу, розміру, характеру, в будь-якій сфері і індустрії.

Реалізація базових принципів ISO / IEC 27001 даэ поштовх для вдосконалення внутрішніх процесів компанії. Стандарт ISO / IEC 27001:2013 описує, яким чином можна пов'язати між собою елементи організації та об'єднати елементи і засоби захисту в єдину систему.

Етапи розробки системи ISO 27001

01

Діагностичний аудит

Аналіз існуючої системи управління, заходів безпеки, мережевої інфраструктури, внутрішнього і зовнішнього контексту компанії

02

Впровадження

Доопрацювання системи управління, опис активів, класифікація інформації, ідентифікація і класифікація ризиків, складання плану обробки ризиків і його реалізація

03

Навчання

Навчання персоналу компанії контролю і управління системою

04

Внутрішній аудит

Визначення невідповідностей і шляхів поліпшення готової системи згідно ISO / IEC 27001 до: 2015

05

Аналіз впровадженої системи

Оцінка підсумків аудиту та аналіз з боку вищого керівництва відповідно до вимог стандарту ISO / IEC 27001 до: 2015.

06

Сертифікаційний аудит

Аудит сертифікаційним органом національного або міжнародного рівня

07

Усунення зауважень

Аналіз і усунення всіх невідповідностей, отриманих в ході сертифікації

08

Сертифікація

Перевірка коригувальних дій за підсумками виявлених невідповідностей та видача сертифіката

Де впроваджуються системи ISO 27001?

Впровадження системи інформаційної безпеки за стандартом ISO 27001 здійснюється для підвищення рівня збереження даних компанії і її розробок і / або конфіденційних даних клієнтів, що сприяє підвищенню їх рівня довіри. Впроваджується ISO 27001 в будь-якій організації, яка збирає, обробляє, зберігає будь-які, включаючи персональні дані клієнтів і / або бажає захиститися від зовнішніх і внутрішніх інформаційних загроз, а також атак на інфраструктуру компанії.

Фінансові установи

IT-компанії

Юридичні компанії

Державні установи

Енергогенеруючі компанії

Інтернет магазини

Майданчики агрегатори

Надання транспортних послуг

Рекламні агентства

Компанії з автоматизованими процесами

Переваги працюючої системи ISO 27001

Визначення вразливих місць

Шляхом оцінки ризиків для інформаційних активів і елементів інформаційної інфраструктури

Забезпечення конфіденційності

Забезпечення всіх користувачів своєчасною інформацією в потрібний час. Підтримка рівня цілісності на необхідному рівні.

Підвищення безпеки

Своєчасне інформування учасників та стейкхолдерів системи про виявлені вразливості. Підтримання необхідного рівня компетентності.

Системна організація

Об'єднання всіх заходів щодо захисту інфраструктури в єдину керовану систему. Реалізація комплексних заходів щодо захисту від загроз

Аудити ISO 27001

Найбільш важлива процедура до впровадження системи інформаційної безпеки, під час її функціонування і перед сертифікацією системи менеджменту ISO27001. Серед рекомендацій Атестор, діагностичний аудит завжди повинен передувати документуванню системи безпеки. Аудиторські звіти - це путівник у розробці та впровадженні системи інформаційної безпеки, який визначає необхідні тимчасові і матеріальні ресурси, охопленні дією системи ІБ.

На переконання фахівців Атестор, підприємства практикуючі аудитори, будь-то Аудит внутрішній (ISO9011), Аудит постачальника (зацікавленого з співпраці), Аудит третьої сторони (незалежний) успішно вдосконалюють систему інформаційної безпеки.

Діагностичний аудит - процедура діагностики всіх інформаційних систем підприємства, управління персоналом та ведення документації для оцінки робіт по розробці, впровадженню або удосконалення системи інформаційної безпеки. Детальніше

Внутрішній аудит - інструмент контролю, що дозволяє оцінити ефективність проходження системі інформаційної безпеки на підприємстві, знайти можливі відхилення від дотримання правил і усунути їх. Головна перевага внутрішнього аудиту - пошук шляхів удосконалення робочої системи.

Передсертифікаційний аудит - це заключний аудит, який може проводиться аудиторами органу по оцінці відповідності або консультатнами консалтингу. Аудит, проведений консультантами Атестор, якісніше і дешевше. Якість полягає в професіоналізмі і глибині пізнання вимог міжнародного стандарту ISO 27001 Детальніше

Навчання ISO 27001

Одним з етапів впровадження є навчання персоналу вимогам стандарту ISO 27001. В першу чергу це необхідно співробітникам, безпосередньо залученим в функціонування системи інформаційної безпеки, а також персоналу тих підрозділів, які забезпечують ключові бізнес-процеси.

При цьому важливо донести цінність системи інформаційної безпеки до кожного працівника, пояснивши правила і ознайомивши з вимогами документації, яка встановлює порядок дій.

Отримати знання за вимогами стандарту ISO 27001 можна взявши участь в тренінгу, організованому компанією АТЕСТОР. Лектор, який проводить навчання - професіонал з глибокими знаннями і багатим досвідом в сфері аудиту та реалізації проектів по впровадженню систем ІТ-безпеки.

При проведенні тренінгу лектор враховує рівень обізнаності учасників і специфіку їх підприємств, а також може давати практичні рекомендації з розробки системи інформаційної безпеки.

При укладанні договору на розробку і впровадження системи інформаційної безпеки за стандартом ISO 27001 на підприємстві, компанія Атестор проводить безкоштовне навчання персоналу (в рамках договору на розробку) по роботі з системою. В ході навчання персонал:

  • навчиться працювати з документацією;
  • освоїть навички по роботі з системою інформаційної безпеки;
  • отримає практичні рекомендації щодо визначення вразливих місць, обробці ризиків;
  • розгляне робочі приклади системи, засновані на реальних даних.

Лектори грунтовно підходять до навчання персоналу і складають індивідуальну програму, засновану на реаліях інформаційної безпеки підприємства.

По завершенню навчання кожен учасник отримує сертифікат, наявність якого є обов'язковою вимогою при роботі з системою інформаційної безпеки ISO 27001.

Сертифікація системи ISO 27001

Довести відповідність системи інформаційної безпеки вимогам стандарту ISO 27001 можна шляхом проходження сертифікації.

Для цього слід звернутися в сертифікаційний орган, подати заявку і узгодити дати проведення аудиту.

На першому етапі розглядаються системні документи, на другому - перевіряється дотримання вимог стандарту ISO 27001 та документації системи інформаційної безпеки на практиці шляхом спостережень.

За результатами аудиту орган по сертифікації приймає рішення про видачу сертифіката.

У разі прийняття позитивного рішення компанія отримує сертифікат, який діє протягом трьох років і дозволяє демонструвати забезпечення інформаційної безпеки в повній мірі.

У процесі сертифікації компанія може забезпечувати супровід групи аудиторів. Надавати додаткові пояснення аудитору.

Пропонувати варіанти реалізації коригувальних дій і дій по усуненню.