ISO/IEC 27001 • Цель и назначение стандарта • Краткая история развития серии стандартов по информационной безопасности • Структура стандарта ISO/IEC 27001: 2005 • Последняя версия стандарта ISO/IEC 27001: 2013 • Сертификация
Назначение стандарта ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC 27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Цель стандарта Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Основные понятия Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи). Целостность - обеспечение точности и полноты информации, а также методов ее обработки. Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Краткая история развития серии стандартов по информационной безопасности Развитие до ИСО 27001: 2013 Развитие до ИСО 27002: 2013
Структура стандарта ISO/IEC 27001: 2005 Предисловие Введение Область приложения Нормативные ссылки Термины и определения Система менеджмента защиты информации Ответственность руководства Внутренние аудиты СЗМИ Анализ СЗМИ со стороны руководства Улучшение СЗМИ Приложение А (обязательное) цели управления и средства управления Приложение В (информационное) принципы OECD и этот международный стандарт Приложение С (информационное) соответствие между ISO 9001: 2000, ISO 14001: 2004 и этим международным стандартом Библиография
Изменения в структуре стандарта ISO/IEC 27001: 2013 Структура основных требований стандарта ISO/IEC 27001: 2013 приведена в соответствии с Директивами ISO/IEC (т. е. все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта еще не переведена, но английский вариант текстового содержания нового стандарта таков: Introdusction Scope Normative references Terms and definitions Context of organization Leadership Planning Support Operation Performance evaluation Improvement.
Сертификация Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий: стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (So. A), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору; стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт; стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.