Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.
Международный стандарт ISO/IEC 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот новый стандарт представляет собой дополнение к стандартуISO/IES 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».
Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
Целостность – обеспечение точности и полноты информации, а также методов ее обработки;
Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.
Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечить эффективное управление системой в критичных ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определить личную ответственность
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
- Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
- Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту
Документы необходимые для сертификации:
- св-во ИНН
- св-во ОГРН
- Устав
- выписка из ЕГРЮЛ (последняя, если есть)
- документ подтверждающий полномочия директора (решение, протокол общего собрания учредителей)
- реквизиты фирмы ( для договора)
- действующие лицензии или допуски (если есть)
Стоимость сертификации 50 000 руб.
Срок проведения сертификации 2-3 рабочих дня.