ISO / IEC 27001:2005 - самые передовые системы управления информационной безопасностью
Недавняя публикация ISO / IEC 27001:2005 "Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - требования (ISO / IEC 27001: 2005, Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Спецификация) является важным событием в мире информационной безопасности, которая, как ожидается с нетерпением.

Это пересмотренный и обновленный вариант чрезвычайно успешным Британский стандарт BS 7799, часть 2, которая применяется процессно-ориентированный подход выступает в ISO 9001:2000 и ISO 14001:2004. Стандарт определяет требования и процессы, чтобы позволить бизнеса для создания, внедрения, с учетом анализа и мониторинга, управления и поддержания эффективной информационной безопасности. Как ISO 9001, она построена на знаменитой Plan-Do-Check-Act (PDCA, болг.? Планирования? Ран? Проверьте? Действий? ") Циклические модели (см. рис. 1 ниже) и требование для непрерывной улучшение.

ISO / IEC 27001:2005 был разработан различными организациями с общими интересами - для защиты своих информационных активов, "кровь-из-жизни" многих предприятий. Эти организации разработали стандарт системы управления информационной безопасностью (СУИБ, английский системы управления информационной безопасностью, СУИБ), чтобы дать им возможность достижения экономически эффективных решений в области информационной безопасности для защиты своего бизнеса.

Инструмент для управления рисками

Управление рисками в основе подхода ISO / IEC 27001 для достижения эффективной защиты информации путем последовательного использования методов риск встроенный в модель процесса PDCA, мониторинга, сохранения и повышения эффективности таких. Она обеспечивает рамки управления для контроля использования передового опыта в ISO / IEC 17799:2005 "Информационные технологии - Методы обеспечения безопасности - Свод практических правил для управления информационной безопасностью (ISO / IEC 17799: 2005, Информационные технологии - Методы Безопасность - Best Practices для управления информационной безопасностью) должны осуществляться и управляться как часть общего подхода к риск организации (см. статью "Улучшение ISO / IEC 17799 возвещает новую серию стандартов по управлению информационной безопасностью", IMS сентябрь-октябрь 2005 года).
ISO / IEC 27001:2005 предоставляет способ введения эффективного управления информационной безопасности в соответствии с целями организации и бизнес-требованиям. Стандарт, основанный на (оценки) риска спецификации, предназначенные для ухода за аспекты информационной безопасности в системе корпоративного управления для защиты информационных активов, правовых и договорных обязательств, а также широкого спектра угроз для систем и бизнес-процессов на основе информационно-коммуникационных технологий, организации (на английском языке информационных и коммуникационных технологий, ИКТ).
Он также ссылается на последние <Principles для Security> Организация экономического сотрудничества и развития (английский Организации экономического сотрудничества и развития, ОЭСР), подчеркнув необходимость создания "культуры безопасности в рамках организации. Это особенно важно, чтобы помочь организации для выполнения своих корпоративной социальной ответственности, и общего благосостояния.

Преимущества для бизнеса

Доверие клиентов жизненно важно для бизнеса. Организации могут обеспечить клиентам prodemonstrira, что его процессов и систем "достаточно заказ" для удовлетворения своих потребностей для совместного использования и обмена информацией, предоставление спектра услуг и проведения онлайн (на английском языке он-лайн ", в -линия) бизнеса. Аутсорсинг (аутсорсинг, аутсорсинг английски) процесс, основанный на открытом месте (на английском языке оффшоринга) и предоставление управляемых услуг - все они полагаются на победу и поддержание доверия клиентов в бизнес-системы организации. Многие организации сообщили о преимуществах использования этих-измов стандартов, чтобы предоставить клиентам гарантию услуг в безопасном режиме.

Кроме того, они также сообщили, выгоды от совещании договорных обязательств и то, что они были в состоянии продемонстрировать партнерам по бизнесу, клиентов и других заинтересованных сторон бизнеса. Некоторые также утверждают, что внедрение стандартов помогла сохранить ряд рисков, в то время как сохранение критической и нематериальных активов. Правительства многих частях мира также применяются СУИБ стандартов, с хорошими результатами, как часть их стратегии?-Правительства и распространять приложения / практики.

Применимо для всех предприятий

ISO / IEC 27001:2005 применяется на малых, средних и крупных организаций. Это практично и достаточно гибким для интеграции с существующими системами управления и адаптации к любой подход к риск того, что организация будет принят. Это мнение полностью поддерживает организации, которые используют BS 7799 часть 2 (т. е. предшественник ISO / IEC 27001) в рамках их бизнес-стратегии. Многие из них также и сертифицированы по BS 7799 часть 2, проводить независимое подтверждение эффективности их информационной безопасности.

Сертификация СУИБ

Сертификация соответствии с BS 7799 Часть 2 резко возросло в последние годы, с более чем 2000 организаций из 50 стран уже сделали это в то время. Международный реестр по сертификации, аккредитованных www.ISO27001certificates.ru предоставлять список всех сертифицированных организаций по стране. Дальнейшее повышение ожидается с публикации ISO / IEC 27001: 2005 сертификации, хотя ни обязательного, ни вызова стандартных. Как предшественник ISO / IEC 27001, BS 7799-Часть 2:2002 доказала свою ценность для многих организаций по всему миру, которые сертифицированы через тот же процесс сертификации и аудита руководящих принципов и критериев, а также ISO 9001:2000 (например, . ISO / IEC Guide 62:1996, ISO 19011:2002 и EA 7 / 03), и сообщили о ряде реальные и ощутимые преимущества для бизнеса, как результат.

Типичные преимущества обозначены числа сертифицированных компаний цитируется здесь (см. врезку "Что пользователи думают"). Аналогичные преимущества были приняты к сведению организаций в большинстве коммерческих и промышленных секторах рынка, включая телекоммуникации, финансы и страхование, коммунальные услуги, розничная торговля, производство, обслуживание, здравоохранения, полиции и спасательных служб, университетов, правительственных ведомств и учреждений. Таким образом, после публикации ISO / IEC 27001:2005, многие организации уже начали подготовку к сертификации / регистрации - целью является достижение международно признанным знаком качества.

Семейство стандартов ISO / IEC 27000

ISO / IEC 27001:2005 является первым семейство стандартов СУИБ, которая будет выпущена в течение ближайших пяти лет. Планируемые ISO / IEC 17799 для перенумеровать в ISO / IEC 27002 в апреле 2007 года выделить время для существующих пользователей, чтобы акклиматизироваться к новой нумерации.

В развитие ISO / IEC 27003 которые предоставят дополнительные указания по осуществлению, и ISO / IEC 27004, который будет касаться важной темой метрик и измерений информационной безопасности. Это позволит организациям устанавливать цели для деятельности и поведения "бенчмаркинг" (на английском языке бенчмаркинг) работы по измерению эффективности своей информационной безопасности. Дальнейшее развитие будет включать в себя ISO / IEC 27000, принципы и словарь (ISO / IEC 27000, принципов и словарный запас), похожие на ISO 9000:2000 и ИСО / МЭК 27005, набор руководящих указаний по управлению рисками. В нем также описаны работы по завершению требованиям телекоммуникационных компаний в сотрудничестве с МСЭ-Т, стандартам, Международного союза электросвязи (английский Международный союз электросвязи, МСЭ). Она полностью основана на ISO / IEC 27001 и определяет дополнительные требования к телекоммуникационным к элементам управления в ISO / IEC 27002 (ISO / IEC 17799) и в настоящее время относится стандартная X.1051 МСЭ-Т. Это может в будущем стать частью семейства стандартов ISO 27000, например. как ISO / IEC 27051.

Лидеры продаж

Таким образом, ISO / IEC 27001:2005 устанавливает тенденции для семьи из международных стандартов СУИБ, которая, как ожидается, обеспечит много преимуществ для бизнеса в мире путем повышения информационной безопасности в атмосфере сегодняшней проникнуты рисков. Новый стандарт предназначен, чтобы наследовать его весьма успешным предшественником BS 7799 часть 2 и, как и ISO / IEC 17799, то, по прогнозам, станет бестселлером через широкий спектр бизнес-рынков и секторов.

читать

читать

читать

читать

читать

читать

читать

читать

читать

читать

1 2 3 >>

HACCP.ru | Семинары, курсы и обучение | Финансирование проектов ЕС | Центр по обеспечению качества | Вопрос-Systems