Разработка системы ISO 27001

Стандарт ISO 27001 содержит требования к управлению системой информационной безопасности в организации. Выполнение этих требований помогает управлять параметрами безопасность информации, такими как конфиденциальность, целостность и доступность с учетом рисков, улучшить сохранность данных, а значит – повысить доверие заказчиков, контрагентов и других стейкхолдеров.

Система применима ко всем организациям, работающим с любыми данными, в том числе с персональными.

Даже если вы считаете, что ваша информация не представляет интереса для злоумышленников, потому что вы не храните, например, данные о платежных картах заказчиков, это не значит, что ваши системы не требуют защиты.

Если вы производите и/или распространяете информационные продукты и услуги, создаете электронный контент, ведете электронный документооборот, вам необходимо думать об эффективном управлении и защите информации. Лучший способ сделать это – внедрить требования универсального стандарта ISO/IEC 27001:2013/COR 1:2014. Он определяет требования к процессам управления информацией, поэтому его может применять организациях любого типа, размера, характера, в любой сфере и индустрии.

Реализация базовых принципов ISO/IEC 27001 подразумевает совершенствование внутренних процессов компании. Стандарт ISO/IEC 27001:2013 описывает, каким образом можно связать между собой элементы организации и объединить элементы и средства защиты в единую систему.

Этапы разработки системы ISO 27001

01

Диагностический аудит

Анализ существующей системы управления, мер безопасности, сетевой инфраструктуры, внутреннего и внешнего контекста компании

02

Внедрение

Доработка системы управления, описание активов, классификация информации, идентификация и классификация рисков, составление плана обработки рисков и его реализация

03

Обучение

Обучение персонала компании контролю и управлению системой

04

Внутренний аудит

Определение несоответствий и путей улучшения готовой системы согласно ISO/IEC 27001:2015

05

Анализ внедренной системы

Оценка итогов аудита и анализ со стороны высшего руководства согласно требованиям стандарта ISO/IEC 27001:2015.

06

Сертификационный аудит

Аудит сертификационным органом национального или международного уровня

07

Устранение замечаний

Анализ и устранение всех несоответствий, полученных в ходе сертификации

08

Сертификация

Проверка корректирующих действий по итогам выявленных несоответствий и выдача сертификата

Где внедряются системы ISO 27001?

Внедрение системы информационной безопасности по стандарту ISO 27001 осуществляется для повышения уровня сохранности данных компании и ее разработок и/или конфиденциальных данных клиентов, что способствует повышению их уровня доверия. Внедряется ISO 27001 в любой организации, которая собирает, обрабатывает, сохраняет любые, включая персональные данные клиентов и/или желает защититься от внешних и внутренних информационных угроз, а также атак на инфраструктуру компании.

Финансовые учреждения

IT-компании

Юридические компании

Государственные учреждения

Энергогенерирующие компании

Интернет-магазины

Площадки-агрегаторы

Предоставление транспортных услуг

Рекламные агентства

Компании с автоматизированными процессами

Преимущества работающей системы ISO 27001

Определение уязвимых мест

Путем оценки рисков для информационных активов и элементов информационной инфраструктуры

Обеспечение конфиденциальности

Обеспечение всех пользователей своевременной информацией в нужное время. Поддержание уровня целостности на требуемом уровне.

Повышение безопасности

Своевременное информирования участников и стейкхолдеров системы о выявленных уязвимостях. Поддержание требуемого уровня компетенций.

Системная организация

Объединение всех мероприятий по защите инфраструктуры в единую управляемую систему. Реализация комплексных мероприятий по защите от угроз

Аудиты ISO 27001

Наиболее важная процедура  до внедрения системы информационной безопасности, во время ее функционирования и перед сертификацией системы менеджмента ISO27001 . Среди рекомендаций  Атестор,  диагностический аудит всегда должен предшествовать документированию системы безопасности. Аудиторские отчеты  – это путеводитель в разработке и внедрении системы информационной безопасности, который определяет необходимые  временные и материальные ресурсы, охват действия системы ИБ. 
По убеждению специалистов Атестор, практикующие аудиторы успешно совершенствуют  международную систему информационной безопасности, будь-то внутренний аудит (ISO 19011), Аудит поставщика (заинтересованных с сотрудничестве), Аудит третьей стороны (независимый)

Диагностический аудит – процедура диагностики всех информационных систем предприятия, управления персоналом и ведения документации для оценки работ по разработке, внедрению или усовершенствованию системы информационной безопасности. Подробнее

Внутренний аудит – инструмент контроля, позволяющий оценить эффективность следования системе информационной безопасности на предприятии, найти возможные отклонения от соблюдения правил и устранить их. Главное преимущество внутреннего аудита – поиск путей усовершенствования рабочей системы. 

Передсернтифакационный аудит - это заключительный аудит, который  может проводится аудиторами органа по оценсе соотвествия или консультатнтами консалтинга. Адит проведенный консультантами Атестор, качественней и дешевле . Качество заключается  в профессионализме и глубине познания требований международного стандарта ISO 27001   Подробнее

Обучение ISO 27001

Одним из этапов внедрения является обучение персонала требованиям стандарта ISO 27001. В первую очередь это необходимо сотрудникам, непосредственно вовлеченным в функционирования системы информационной безопасности, а также персоналу тех подразделений, которые обеспечивают ключевые бизнес-процессы.

При этом важно донести ценность системы информационной безопасности до каждого работника, объяснив правила и ознакомив с требованиями документации, которая устанавливает порядок действий.

Получить знания по требованиям стандарта ISO 27001 можно приняв участие в тренинге, организованном компанией АТЕСТОР. Лектор, который проводит обучение – профессионал с глубокими знаниями и богатым опытом в сфере аудита и реализации проектов по внедрению систем ИТ-безопасности.

При проведении тренинга лектор учитывает уровень осведомленности участников и специфику их предприятий, а также может давать практические рекомендации по разработке системы информационной безопасности.

При заключении договора на разработку и внедрение системы информационной безопасности по стандарту ISO 27001 на предприятии, компания Атестор проводит бесплатное обучение персонала (в рамках договора на разработку) по работе с системой. В ходе обучения персонал:

  • научится работать с документацией;
  • освоит навыки по работе с системой информационной безопасности;
  • получит практические рекомендации по определению уязвимых мест, обработке рисков;
  • рассмотрит рабочие примеры системы, основанные на реальных данных.

Лекторы основательно подходят к обучению персонала и составляют индивидуальную программу, основанную на реалиях информационной безопасности предприятия.

По завершению обучения каждый участник получает сертификат, наличие которого является обязательным требованием при работе с системой информационной безопасности ISO 27001.

Сертификация системы ISO 27001

Доказать соответствие системы информационной безопасности требованиям стандарта ISO 27001 можно путем прохождения сертификации.

Для этого следует обратиться в сертификационный орган, подать заявку и согласовать даты проведения аудита.

На первом этапе рассматриваются системные документы, на втором — проверяется соблюдение требований стандарта ISO 27001 и документации системы информационной безопасности на практике путем наблюдений.

По результатам аудита орган по сертификации принимает решение о выдаче сертификата.

В случае принятия положительного решения компания получает сертификат, который действует в течение трех лет и позволяет демонстрировать обеспечение информационной безопасности в полной мере.

В процессе сертификации компания может обеспечивать сопровождение группы аудиторов. Предоставлять дополнительные пояснения аудитору. 
Предлагать варианты реализации корректирующих действий и действий по устранению.
: