ISO 27001 описывает систему менеджмента, направленную на четкое и планомерное управление всей информационной безопасностью компании.
Сертификат соответствия ISO 27001 является важным знаком для заказчиков и других партнеров надежности и защищенности данных.
Большинство компаний пытаются контролировать информацию с целью обеспечения защиты от конкурентов, хакеров и пр. Без четкой системной работы это делается часто случайно и неэффективно. Принимаются точечные решения по узким проблемам, решения не документируются и не вводятся в правила работы компании, дальнейшее исполнение не отслеживается и не контролируется.
Контроль безопасности, как правило, обращается к определенным аспектам IT и безопасности данных, не придавая особого значения не-электронным носителям (бумажные документы – контракты, чертежи и прочие знания). Управление персоналом, как правило, не охватывает назначение полномочий и ответственности в области защиты информации.
ISO 27001 требует:
- периодической оценки информационных рисков компании, принимая во внимание угрозы и уязвимости;
- разработку и внедрение полного набора средств управления и контроля над всеми определенными рисками (например, увольнение сотрудника, физическая защита офисов, защита оборудования, резервное копирование, права доступа, сетевое управление, носители информации, мобильная связь и многое другое);
- встраивание процессов контроля информационной безопасности в каждодневную работу и систему управления компанией.
|
