Содержание статьи:
- Показать полностью
Нет времени читать?
Задайте вопрос нашему специалисту БЕСПЛАТНО
Что такое ISO 27002
Норматив ISO 27002, это документ об информационной безопасности, который создали организации ISO и IEC (межнациональная организация по стандартизации и мировая электротехническая комиссия).
В данном стандарте собраны сто четырнадцать основных мер передовой практики для сотрудников ответственных за разработку или обслуживание системы управления безопасностью. Информационная защищенность здесь обозначена сохранностью конфиденциальности, неразрывностью и общедоступностью материалов.
ИСО 27002 не является обязательным для организаций.
Подробно о сертификатах ISO
История разработки стандарта
В 1995 г. BSI (Британский институт стандартов) определяет меры безопасности во всех деталях и отражает это в документе BS 7799.
В 1998 г. BSI делит этот норматив на BS 7799/1 (нормы практики) и на BS 7799/2 (спецификации системы руководства безопасности информации).
В 2000 г. всемирная организация по стандартизации на основе предыдущего публикует новый норматив ISO/IEC 17799 2000.
А в 2005 г. компании ИСО и МЭК совместно заменили его на стандарт 27002.
В 2013 г. претерпев большое количество изменений, был обновлен и переименован в ISO IEC 27002 2013.
Суть стандарта ISO 27002
Суть стандарта ISO IEC 27002 заключается в том, что он не просто отражает вопросы безопасности информации, а рассматривает их с точки зрения экономической эффективности.
Требования ИСО 27002
При формировании требований в сфере безопасности информации обязательно учитываются 3 группы факторов:
- анализ рисков компании (через него выявляется угроза оборотным активам фирмы с дальнейшими последствиями);
- юридические, законотворческие, направляющие и контрактные требования (им должны соответствовать компании, партнеры и производители сервисных услуг);
- нестандартный набор принципов, целей и условий (они должны быть разработаны самой компанией в отношении обработки данных).
Чтобы создать эффективную структуру устойчивости, особое внимание необходимо уделять комплексному подходу, ориентированному на руководство безопасности. При этом, информационные материалы должны быть:
- закрытыми;
- достоверными;
- понятными;
- неразрывными.
Кому необходим
Стандарт ИСО МЭК 27002 подходит организациям любого размера. Документ содержит ряд практических советов по информационной безопасности. Данные рекомендации будут полезны персоналу, отвечающему за формирование и осуществление обслуживания систем безопасности таких технологий.
В России международный сертификат применяется на добровольной основе.
Позвоните нам!
Подробная консультация эксперта - БЕСПЛАТНО
Структура стандарта ISO 27002
Документ ISO IEC 27002 состоит из введения и восемнадцати глав. В четырех первых главах описан единый стандарт. Здесь идет напоминание о необходимости проведения организацией регулярных анализов рисков методами, которые соответствуют потребностям. А в последующих четырнадцати главах можно увидеть бизнес-стратегии и руководство по использованию систем управления устойчивости.
Преимущества ИСО 27002, руководство по управлению проектами
Применение системы управления безопасности информации позволяет обеспечить надежную защиту финансовых показателей и персональных данных, а также свести к минимуму вероятность неправомерного доступа к ним.
Единый стандарт ISO 27002 поможет компании подтвердить соответствие ее работы межнациональным нормативам эффективности и получить статус привилегированного поставщика.
Укрепит уверенность производителей и акционеров в том ,что для данной организации обеспечение защиты информации является приоритетом.
Интеграция
Российские образцы ГОСТ ИСО МЭК 15408, разработанные на основе мирового ИСО 27002 в сфере надлежащих технологий, направлены на обеспечение соизмеримости результатов, полученных в процессе проведения независимого анализа.
Документ ГОСТ ИСО 17799 устанавливает образцы, которые направлены на обеспечение конфиденциальности информации, в качестве стандартов, направленных на сохранение приватности.
В 2015 г. на основе норматива ISO IEC 27002 был создан документ ISO IEC 27017, в котором были предложены дополнительные мероприятия по безопасности для облака.
Как получить ИСО 27002: этапы сертификации
Процесс стандартизации состоит из двух основных этапов:
- Проверка документации компании на предмет системы управления безопасности информации с предварительным анализом соответствия требованиям ИСО МЭК 27002 и вынесением вердикта готовности фирмы к сертификации;
- Проведение сертификационной экспертизы с целью подведения итога соответствия системы менеджмента информационной защищенности требованиям ISO 27002 и принятия решения о выдаче документа соответствия.
Подача онлайн-заявки
Сертификация начинает проводится только на основании зарегистрированной заявки в компании, наделенной полномочиями ее проводить. Установленный образец можно найти на сайте.
Передача необходимых документов
Перечень документов можно узнать в центре по сертификации.
После заполнения формы онлайн-заявки организация должна предоставить документы:
- общие входные данные (реквизиты компании, копия устава, ОГРН, ИНН, выписка из ЕГРЮЛ, решение о назначении гендиректора);
- документацию о выпускаемой продукции или оказываемых услугах (ксерокопии лицензий, разрешительные документы);
- документы о системе руководства информационной безопасности (учетный документ с данными о структуре организации, количестве сотрудников, их должностях, с указанием работников получающих доступ к закрытой информации).
Расчет стоимости
Итоговая стоимость зависит от степени готовности организации к процессу сертификации. Расчет производится после проведения сертификационного аудита с учетом объема проведенных работ. Сумма рассчитывается индивидуально.
Заключение договора
После составления онлайн-заявки необходимо заключить договор на сертификацию с выбранной компанией, которая имеет полномочия на проведение данного мероприятия и выдачу документа.
Получение сертификата
После проведенного сертификационного аудита и принятого проверяющим органом решения компания получает документ соответствия ISO IEC 27002.
Выдается сертификат сроком на 3 года. За этот период организация должна провести 2 надзорные проверки (не реже 1 раза в год) для подтверждения действия сертификата.
Стоимость сертификации и срок оформления ISO 19650 в России
В настоящее время стоимость сертификации в России по стандарту ИСО 27002 2013 составляет от 40 000 до 120 000 руб..
Срок оформления документа начинается от двух дней и больше.
Сертифицироваться или нет по ISO 27002?
В данный момент технологии шагнули далеко вперед и тех мер безопасности, которые предпринимались ранее, уже недостаточно. Стандарт ISO 27002 повышает актуальность сертификации. Для того чтобы продемонстрировать способность компании защитить свои информационные ресурсы и обеспечить ей репутацию надежного партнера, необходимо сертифицироваться.
Остались вопросы? Позвоните нам!
Подробная консультация эксперта - БЕСПЛАТНО
