Международный стандарт менеджмента информационной безопасности ISO/IEC 27001 предназначен для разработки системы управления информационной безопасностью организации вне зависимости от ее сферы деятельности. 

Стандарты ISO 27001 и ISO 17799 

Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет ли речь о защите бумажного документооборота или электронных данных. 

Положения стандарта описывают такие аспекты, как: 

• Политика безопасности
• Организационные методы обеспечения информационной безопасности
• Управление ресурсами
• Пользователи информационной системы
• Физическая безопасность
• Управление коммуникациями и процессами
• Контроль доступа
• Приобретение, разработка и сопровождение информационных систем
• Управление инцидентами информационной безопасности
• Управление непрерывностью ведения бизнеса
• Соответствие требованиям

Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации, не вошедших в ISO 17799; дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы менеджмента информационной безопасности (СМИБ). 

Аудит системы менеджмента информационной безопасности, как правило, включает в себя:

• аудит архитектуры системы,
• тестирование программ фильтрации спама, защиты от троянов,
• аудит внутренней безопасности (угрозы, исходящие от работников, удаленных работников, посетителей),
• аудит обеспечения безопасности при доступе к системе и управление правами доступа,
• аудит центров архивирования и системы архивирования данных,
• аудит планирования готовности к чрезвычайным ситуациям и аварийного восстановления,
• тест на проникновение (внутреннего, внешнего) с целью проверки системы защиты

Преимущества сертификации 

Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту. 

Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании. 

Подробнее об интегрированных системах читайте здесь.