ISO/IEC 27001:2013 Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования

ISO/IEC 27001:2013 — это международный стандарт, который описывает наилучшую практику для системы управления информационной безопасностью (СМИБ). СМИБ обеспечивает системный подход к управлению информационной безопасностью организации. Она состоит из политик, процедур и других средств контроля, связанных с людьми, процессами и технологиями, и помогает организациям защищать свои данные от всевозможных угроз: внешних и внутренних, преднамеренных и непреднамеренных.

СМИБ может быть применена к организациям малого, среднего и крупного бизнеса в любом секторе промышленности. Сертификация ISO/IEC 27001 широко распространена в финансовом, IT, юридическом и здравоохранительном секторах.

Наличие сертификата соответствия ISO/IEC 27001 является демонстрацией партнерам и клиентам, что организация надлежащим образом и на регулярной основе управляет рисками информационной безопасности.

ISO/IEC 27001:2013 и управление рисками

Одной из главных целей системы является управление рисками. Организация должна определить область, охватываемую деятельностью по управлению рисками.

Процесс управления рисками включает – идентификацию рисков, анализ рисков, оценку рисков и обработку рисков. Так как СМИБ основана на регулярной оценке рисков, следовательно процесс управления рисками является повторяющимся.

Для более эффективного менеджмента рисками информационной безопасности следует руководствоваться ISO/IEC 27005:2018 и ISO 31000:2018.

Приложение А стандарта ISO/IEC 27001 определяет перечень задач управления безопасностью и соответствующих средств для их реализации, которые обязательны для применения. При этом стандарт допускает применение организациями иных средств в обоснованных случаях.

Рекомендации ISO/IEC 27001:2013 по управлению безопасностью

Преимущества сертификации по ISO/IEC 27001?

Конфиденциальная информация хранится в безопасности. СМИБ защищает личную информацию ваших клиентов, финансовые данные и интеллектуальную собственность от потери, повреждения или кражи.

Удовлетворенность клиентов. Клиенты и заинтересованные стороны обретают уверенность в том, как вы управляете информационной безопасностью.

Сокращение расходов, связанных с информационной безопасностью. Благодаря подходу ISO/IEC 27001 к оценке и анализу рисков вы можете сократить затраты на неразборчивое применение инструментов и средств информационной безопасности, которые могут не работать.

Соответствовать требованиям законодательства. ISO/IEC 27001 обеспечивает выполнение множества законодательных актов, требований, касающихся информационной безопасности, в том числе GDPR (Общие положения о защите данных).

Примечание. GDPR (Общее положение о защите данных) — это «общеевропейский» закон о защите данных, который заменил Директиву ЕС о защите данных 1995 года и все законы государств-членов на ее основе. GDPR должны соблюдать:

  • все организации ЕС, которые собирают, хранят или иным образом обрабатывают личные данные лиц, проживающих в ЕС, даже если они не являются гражданами ЕС.
  • организации, базирующиеся за пределами ЕС, которые предлагают товары или услуги резидентам ЕС, следят за их поведением или обрабатывают их личные данные.

Международное признание. Так как ISO 27001:2013 является международным стандартом – наличие сертификата СМИБ обеспечивает признание компании на международном уровне.

Создание внутрикорпоративной культуры информационной безопасности. Реализация требований ISO/IEC 27001 помогает в значительной степени определить и распределить роли и обязанности между персоналом, что способствует большей удовлетворенности сотрудников от работы, снижению внутренних конфликтов и достижению целей организации.


Для организаций, у которых уже есть сертифицированная (разработанная) в соответствии с требованиями ISO 9001:2015 система менеджмента качества (СМК), сертификация системы менеджмента информационной безопасности (СМИБ) по ISO/IEC 27001:2013 может проходить легче, в связи с тем, что часть требований к системам менеджмента пересекаются. Например – контекст организации, управление документацией, управление рисками и возможностями, управление компетентностью, управление ресурсами, внутренние аудиты и др.


Стандарты взаимосвязанные с ISO/IEC 27001:2013

  • ISO/IEC 27002:2013 Информационные технологии – Методы защиты – Свод рекомендуемых правил для управления информационной безопасностью. ISO/IEC 27001 определяет 114 элементов управления, которые можно использовать для снижения рисков безопасности, а ISO/IEC 27002 может быть весьма полезным, поскольку в нем подробно описывается, как реализовать эти элементы управления.
  • ISO/IEC 27004:2016, Информационные технологии – Техника безопасности – Система информационной безопасности- Мониторинг, меры, анализ и оценка. ISO/IEC 27004:2016 предоставляет руководящие указания, призванные помочь организациям в оценке эффективности информационной безопасности и эффективности системы управления информационной безопасностью для выполнения требований ISO/IEC 27001:2013, п. 9.1 (Мониторинг, измерение, анализ и оценка).
  • ISO/IEC 27005:2018 Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности. Этот документ содержит рекомендации по управлению рисками информационной безопасности.
  • ISO 31000:2018 Управление рисками – Руководство. Стандарт представляет руководящие принципы для эффективного и действенного управления рисками в простой форме. Стандарт применим к любым организациям и различным процессам от финансов до производства.

Возникли вопросы? Спросите нас!

ООО «БелТестАудит» относится с большим уважением ко всем своим клиентам. В случае возникновения вопросов, заполните представленную ниже форму, и наши специалисты ответят Вам в ближайшее время!