Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
Стандарт ISO 27001 определяет требования к системе управления (менеджмента) информационной безопасности (СУИБ). Требования стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности компании. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса.
Стандарт носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.
Решаемые задачи
Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:
- Повышение уровня безопасности. Стандарт разработан с учётом лучших мировых практик обеспечения информационной безопасности.
- Управление. Стандарт предусматривает построение циклического и управляемого процесса обеспечения ИБ.
- Оптимизация расходов. Система управления информационной безопасностью позволяет оптимизировать и обосновать затраты на информационную безопасность.
- Риски. Снижение уровня финансовых рисков, связанных с информационной безопасностью, путем их идентификации, оценки и принятия адекватных защитных мер.
- Привлекательность. Повышение степени привлекательности компании на внутреннем и внешнем рынках (конкурентные преимущества).
- Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.
- Репутация. Повышение уровня деловой репутации путем сертификации системы менеджмента информационной безопасности, демонстрирующей высокий уровень зрелости компании.
Специалисты компании «Микротест» реализуют
Комплекс работ по построению системы управления информационной безопасностью включает следующие работы:
- определение области действия СУИБ;
- предварительный аудит на соответствие требованиям ISO 27001:
- сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;
- анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
- оценка текущего уровня соответствия требованиям стандарта ISO 27001;
- проведение оценки рисков:
- разработка методики оценки рисков;
- инвентаризация и классификация активов;
- формирование карты угроз;
- анализ и оценка рисков;
- разработка плана обработки рисков;
- разработка процедур и документации СУИБ:
- разработка процессов управления информационной безопасности;
- разработка процессов обеспечения информационной безопасности;
- разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
- разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;
- внедрение процедур и документации СУИБ:
- внедрение процессов управления информационной безопасности;
- внедрение процессов обеспечения информационной безопасности;
- обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности;
- опытная эксплуатация СУИБ;
- сертификационный аудит и выдача международного сертификата:
- взаимодействие с органом сертификации;
- консультационная поддержка при прохождении сертификационного аудита.
Результаты работ
Результатом работ компании «Микротест» является система управления информационной безопасностью организации, соответствующая требованиям стандарта ISO 27001.
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.