режим работы
без выходных 8:00-21:00
8 (800) 700-15-25
Звонок бесплатный
Логотип СтройЮрист

ISO 27002: кому обязательно и как получить

calendar.svg 27.07.2022 eye.svg 968 timer.svg 7 минут

Вы хотите зарекомендовать свою компанию как партнера, ответственно относящегося к сохранению конфиденциальности данных? В таком случае необходимо ознакомиться со стандартом ISO 27002 и получить соответствующий сертификат.

Автор Элеонора Акимова

Автор статьи:

Элеонора Акимова

Руководитель отдела,
В сертификации более 7 лет, Эксперт по ISO

Нет времени читать?

Задайте вопрос нашему специалисту БЕСПЛАТНО

Что такое ISO 27002

Норматив ISO 27002, это документ об информационной безопасности, который создали организации ISO и IEC (межнациональная организация по стандартизации и мировая электротехническая комиссия).

В данном стандарте собраны сто четырнадцать основных мер передовой практики для сотрудников ответственных за разработку или обслуживание системы управления безопасностью. Информационная защищенность здесь обозначена сохранностью конфиденциальности, неразрывностью и общедоступностью материалов.

ИСО 27002 не является обязательным для организаций.

Подробно о сертификатах ISO

История разработки стандарта

В 1995 г. BSI (Британский институт стандартов) определяет меры безопасности во всех деталях и отражает это в документе BS 7799. 

В 1998 г. BSI делит этот норматив на BS 7799/1 (нормы практики) и на BS 7799/2 (спецификации системы руководства безопасности информации). 

В 2000 г. всемирная организация по стандартизации на основе предыдущего публикует новый норматив ISO/IEC 17799 2000. 

А в 2005 г. компании ИСО и МЭК совместно заменили его на стандарт 27002.

В 2013 г. претерпев большое количество изменений, был обновлен и переименован в ISO IEC 27002 2013.

Суть стандарта ISO 27002

Суть стандарта ISO IEC 27002 заключается в том, что он не просто отражает вопросы безопасности информации, а рассматривает их с точки зрения экономической эффективности.

Требования ИСО 27002

При формировании требований в сфере безопасности информации обязательно учитываются 3 группы факторов:

  • анализ рисков компании (через него выявляется угроза оборотным активам фирмы с дальнейшими последствиями);
  • юридические, законотворческие, направляющие и контрактные требования (им должны соответствовать компании, партнеры и производители сервисных услуг);
  • нестандартный набор принципов, целей и условий (они должны быть разработаны самой компанией в отношении обработки данных).

Чтобы создать эффективную структуру устойчивости, особое внимание необходимо уделять комплексному подходу, ориентированному на руководство безопасности. При этом, информационные материалы должны быть:

  • закрытыми;
  • достоверными;
  • понятными;
  • неразрывными.

Кому необходим

Стандарт ИСО МЭК 27002 подходит организациям любого размера. Документ содержит ряд практических советов по информационной безопасности. Данные рекомендации будут полезны персоналу, отвечающему за формирование и осуществление обслуживания систем безопасности таких технологий.

В России международный сертификат применяется на добровольной основе.

Скачать ИСО МЭК 27002

Позвоните нам!

Подробная консультация эксперта - БЕСПЛАТНО

Структура стандарта ISO 27002

Документ ISO IEC 27002 состоит из введения и восемнадцати глав. В четырех первых главах описан единый стандарт. Здесь идет напоминание о необходимости проведения организацией регулярных анализов рисков методами, которые соответствуют потребностям. А в последующих четырнадцати главах можно увидеть бизнес-стратегии и руководство по использованию систем управления устойчивости. 

Преимущества ИСО 27002, руководство по управлению проектами

Применение системы управления безопасности информации позволяет обеспечить надежную защиту финансовых показателей и персональных данных, а также свести к минимуму вероятность неправомерного доступа к ним.

Единый стандарт ISO 27002 поможет компании подтвердить соответствие ее работы межнациональным нормативам эффективности и получить статус привилегированного поставщика.

Укрепит уверенность производителей и акционеров в том ,что для данной организации обеспечение защиты информации является приоритетом.

Интеграция

Российские образцы ГОСТ ИСО МЭК 15408, разработанные на основе мирового ИСО 27002 в сфере надлежащих технологий, направлены на обеспечение соизмеримости результатов, полученных в процессе проведения независимого анализа.

Документ ГОСТ ИСО 17799 устанавливает образцы, которые направлены на обеспечение конфиденциальности информации, в качестве стандартов, направленных на сохранение приватности.

В 2015 г. на основе норматива ISO IEC 27002 был создан документ ISO IEC 27017, в котором были предложены дополнительные мероприятия по безопасности для облака.

Как получить ИСО 27002: этапы сертификации

Процесс стандартизации состоит из двух основных этапов:

  1. Проверка документации компании на предмет системы управления безопасности информации с предварительным анализом соответствия требованиям ИСО МЭК 27002 и вынесением вердикта готовности фирмы к сертификации;
  2. Проведение сертификационной экспертизы с целью подведения итога соответствия системы менеджмента информационной защищенности требованиям ISO 27002 и принятия решения о выдаче документа соответствия.

Подача онлайн-заявки

Сертификация начинает проводится только на основании зарегистрированной заявки в компании, наделенной полномочиями ее проводить. Установленный образец можно найти на сайте.

Передача необходимых документов

Перечень документов можно узнать в центре по сертификации.

После заполнения формы онлайн-заявки организация должна предоставить документы:

  • общие входные данные (реквизиты компании, копия устава, ОГРН, ИНН, выписка из ЕГРЮЛ, решение о назначении гендиректора);
  • документацию о выпускаемой продукции или оказываемых услугах (ксерокопии лицензий, разрешительные документы);
  • документы о системе руководства информационной безопасности (учетный документ с данными о структуре организации, количестве сотрудников, их должностях, с указанием работников получающих доступ к закрытой информации).

Расчет стоимости

Итоговая стоимость зависит от степени готовности организации к процессу сертификации. Расчет производится после проведения сертификационного аудита с учетом объема проведенных работ. Сумма рассчитывается индивидуально.

Заключение договора

После составления онлайн-заявки необходимо заключить договор на сертификацию с выбранной компанией, которая имеет полномочия на проведение данного мероприятия и выдачу документа.

Получение сертификата

После проведенного сертификационного аудита и принятого проверяющим органом решения компания получает документ соответствия ISO IEC 27002.

Выдается сертификат сроком на 3 года. За этот период организация должна провести 2 надзорные проверки (не реже 1 раза в год) для подтверждения действия сертификата.

Стоимость сертификации и срок оформления ISO 19650 в России

В настоящее время стоимость сертификации в России по стандарту ИСО 27002 2013 составляет от 40 000 до 120 000 руб..

Срок оформления документа начинается от двух дней и больше.

Сертифицироваться или нет по ISO 27002?

В данный момент технологии шагнули далеко вперед и тех мер безопасности, которые предпринимались ранее, уже недостаточно. Стандарт ISO 27002 повышает актуальность сертификации. Для того чтобы продемонстрировать способность компании защитить свои информационные ресурсы и обеспечить ей репутацию надежного партнера, необходимо сертифицироваться.

Остались вопросы? Позвоните нам!

Подробная консультация эксперта - БЕСПЛАТНО

Поделиться статьей:

Поделиться в Телеграм Поделиться в Вконтакте Поделиться на Почту