
ИСО 27001:2022 (ГОСТ Р ИСО/МЭК 27001-2021*)

ИСО 27001:2022 «Системы менеджмента информационной безопасности. Требования».
Потеря данных, конфиденциальность информации – риски, значение которых резко возросло в цифровую эпоху. Не только имидж, не только процветание, но зачастую существование компании зависит от сохранности информации. И это те события, о которых не только говорят в новостях и они касаются Google или Facebook, сохранность информации – кибератаки, вирусы, неквалифицированные или умышленные действия сотрудников, сбои в работе оборудования – это то, что может происходить повседневно в любой компании. Соответственно и важность управления информационной безопасностью – ключевая задача руководства. Стандарт ИСО 27001 – мировой опыт по организации информационной безопасности
История
Первым стандартом в данной области стал британский стандарт BS 7799 Часть 1 в 1995 году, который включал в себя 127 механизмов контроля для обеспечения менеджмента информационной безопасности, в 2002 г. вышла вторая часть, устанавливающая требования к системе менеджмента. В дальнейшем стандарт корректировался и был принят в качестве международного. В настоящее время действует версия ИСО/МЭК 27001:2012
Основное содержание
Действующая версия стандарта основана на структуре высокого уровня. Это означает, что он имеет аналогичное всем современным стандартам на системы менеджмента построение и структуру требований:
-
система менеджмента информационной безопасности (определение контекста, требований и ожиданий заинтересованных сторон, процессный подход к управлению)
-
лидерство (ответственность руководителей и распределение ответственности и полномочий в компании)
-
планирование (управление рисками и возможностями, установление целей компании и способов их достижения)
-
поддержка (требования к поддерживающим службам - обеспечение непрерывности работы инфраструктуры, обеспечение необходимой производственной среды, требования к компетентности и развитию персонала, управление документацией)
-
деятельность (планирование деятельности, обращение с рисками по информационной безопасности)
-
оценка показателей деятельности (внутренний аудит, самооценка показателей деятельности организации)
-
улучшение (постоянное улучшение процессов компании, предотвращение повторения ошибок).
Стандарт имеет обширный список средств и методов управления информационной безопасностью, которые направление на исключение или, по крайней мере, снижение рисков потери информации
Для кого
Для всех компаний, где работники используют компьютер, смартфон, бумажные и электронные документы. Степень применения разумеется может быть разной, не всем требуется проходить сертификацию (то есть получать независимое подтверждение наличия и функционирования системы менеджмента информационной безопасности), но базовые вопросы в области информационной безопасности и правила построения системы управления безопасностью информации понадобятся рано или поздно всем компаниям
Преимущества для пользователей
-
Возможность построить систему защиты информации на основе лучших примеров мирового опыта
-
При сертификации, возможность продемонстрировать заинтересованным сторонам надежность своей системы защиты данных
Недостатки
-
Для небольших компаний, не занятых в сфере IT, стандарт может показаться сложным или избыточным. Но если не требуется сертификация , то можно выбирать – какие требования выполнять, а какие нет
Комментарий
Стандарт - третий по популярности стандарт ИСО на системы менеджмента. Существует большое количество законодательных требований по обеспечению безопасности (Закон о персональных данных Закон о коммерческой тайне и проч.), но они все указывают, что должно быть сделано, тогда как стандарт ИСО 27001 объясняет как это можно сделать
* - стандарты не являются эквивалентными. ГОСТ Р ИСО/МЭК 27001-2021 - аналог ISO/IEC 27001 версии 2013 года