Please enable JavaScript.
Coggle requires JavaScript to display documents.
Міжнародний стандарт ISO/IEC 27001 Лосєв Валерій КБ-34 - Coggle Diagram
Міжнародний стандарт ISO/IEC 27001 Лосєв Валерій КБ-34
Опис
ISO/IEC 27001 - це міжнародний стандарт з інформаційної безпеки, розроблений спільно Міжнародною організацією стандартизації (ISO) та Міжнародною електротехнічною комісією (IEC). Він був підготовлений до публікації підкомітетом SC27 Об'єднаного технічного комітету JTC 1. Стандарт містить вимоги в галузі інформаційної безпеки для створення, розвитку та підтримки Системи управління інформаційною безпекою (СУІБ).
Цілі та призначення
Захист інформації: Основною метою ISO/IEC 27001 є забезпечення захисту конфіденційності, цілісності та доступності інформації в організації.
Створення системи управління інформаційною безпекою (ISMS): Стандарт визначає вимоги до створення, впровадження, удосконалення та підтримки системи управління інформаційною безпекою в організаціях.
Впровадження стандартів безпеки: ISO/IEC 27001 допомагає організаціям впроваджувати стандарти безпеки інформації, які відповідають міжнародним нормам та найкращим практикам.
Ризик-орієнтований підхід: Стандарт сприяє визначенню, оцінці та управлінню ризиками інформаційної безпеки, що допомагає забезпечити ефективний захист інформації в організації.
Відповідність вимогам: ISO/IEC 27001 допомагає організаціям забезпечити відповідність законодавчим, регуляторним та іншим вимогам в галузі інформаційної безпеки.
Сертефікація систем ІБ
Історія розвитку серії стандартів з інформаційної безпеки
Першим стандартом з інформаційної безпеки, який був прийнятий на державному рівні в 1995 році і розроблений Британським інститутом стандартів, є BS 7799 — Частина 1.
BS 7799 — Part 2 : 1998
BS 7799 — Part 2 : 2002
ISO 27001:2005
ISO 27001:2013
Основні поняття, що використовуються в рамках стандарту ISO/IEC 27001
Конфіденційність - забезпечення доступності інформації тільки тим, хто має відповідні повноваження (авторизовані користувачі).
Цілісність - забезпечення точності та повноти інформації, а також методів її обробки.
Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (за вимогою).
Система управління інформаційною безпекою (ISMS): Це система, яка встановлюється, впроваджується, підтримується та постійно вдосконалюється в організації для керування інформаційною безпекою та забезпечення захисту інформації.
Ризик-орієнтований підхід: ISO/IEC 27001 базується на ризик-орієнтованому підході до управління інформаційною безпекою. Це означає, що організація повинна ідентифікувати потенційні загрози і ризики для своєї інформації, оцінити їх вплив та прийняти відповідні заходи для зниження цих ризиків до прийнятного рівня.
Керівництво організації: Від керівництва організації очікується, що вони виявлять прихильність до інформаційної безпеки, приймуть на себе відповідальність за її забезпечення та активно підтримуватимуть впровадження та підтримку ISMS.
Внутрішні аудити та огляди керівництвом: ISO/IEC 27001 передбачає проведення внутрішніх аудитів для перевірки ефективності та відповідності системи управління інформаційною безпекою вимогам стандарту. Крім того, вона вимагає проведення періодичних оглядів керівництвом для оцінки стану ISMS та прийняття рішень щодо його вдосконалення.
Постійне вдосконалення: Організації, які використовують ISO/IEC 27001, повинні постійно вдосконалювати свою систему управління інформаційною безпекою, враховуючи зміни у загрозах, технологіях та внутрішніх процесах.
Переваги використання та застосування стандарту ISO/IEC 27001
Забезпечення високого рівня інформаційної безпеки: Стандарт ISO/IEC 27001 надає організаціям системний підхід до управління інформаційною безпекою, що дозволяє забезпечити високий рівень захисту конфіденційності, цілісності та доступності інформації.
Визначення ризиків та прийняття заходів з їх зменшення: ISO/IEC 27001 вимагає від організацій проводити аналіз ризиків і вживати відповідні заходи з їх управління, що дозволяє зменшити ймовірність виникнення інцидентів з інформаційною безпекою.
Відповідність законодавству і стандартам: Впровадження ISO/IEC 27001 допомагає організаціям відповідати вимогам законодавства та міжнародних стандартів з інформаційної безпеки.
Підвищення довіри стейкхолдерів: Відповідність стандарту допомагає підвищити довіру клієнтів, партнерів, акціонерів та інших стейкхолдерів до організації через демонстрацію відповідального ставлення до захисту інформації.
Підвищення конкурентоспроможності: Впровадження і сертифікація за ISO/IEC 27001 може слугувати важливим конкурентним перевагою, оскільки вказує на високий стандарт захисту інформації, що збільшує привабливість організації для партнерів та клієнтів.
Ефективне управління ризиками: За допомогою ISO/IEC 27001 організації можуть ефективно ідентифікувати, оцінювати та керувати ризиками інформаційної безпеки, що дозволяє запобігти можливим загрозам та негативним наслідкам.