ISO/IES 27001:2005

информационная безопасность«Хорошую информацию трудно добыть. Сделать с ней что-нибудь – еще труднее».


Роберт Линн

Разработка и внедрение системы информационной безопасности ISO/IES 27001:2013

Компания “ОПК” предлагает разработку и внедрение систем информационной безопасности ISO/IES 27001:2005 на вашем предприятии.

Стоимость услуги по разработке и внедрению СМК
в соответствии с 
ГОСТ ISO/IEC 27001:2013 – 150 000 руб. 

«Кто владеет информацией – владеет миром», – утверждал продолжатель европейской банковской династии Натан Ротшильд еще в 19 веке. Информация и сегодня остается важнейшим деловым ресурсом, который обеспечивает как банкам, так и предприятиям в целом,  добавочную стоимость. Естественно, компании стараются максимально защитить информацию, дабы не понести финансовые и репутационные потери из-за ее утечки. В этой связи актуальной становится не просто защита баз данных организации, но разработка системы управления информационной безопасностью, позволяющей эффективно управлять  информацией в рабочем режиме каждого дня и в критических ситуациях.

Международный стандарт «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. 25 сентября 2013 года была опубликована новая версия данного стандарта – ISO/IEC 27001:2013. Вместе с главным был создан еще один дополнительный стандарт –  ISO/IEC 27002, который содержит рекомендации по правильному внедрению  требований нового стандарта 2013 года.

Стандарт не просто выдвигает требования к разработке, внедрению и совершенствованию систем менеджмента защиты информации, но является сертификационным стандартом, что делает его привлекательным как для специалистов по информационной безопасности, так и для организации в целом. Сертификация на соответствие стандарту ISO/IEC 27001 служит для деловых партнеров,  инвесторов и клиентов наглядным свидетельством того, что защита информации на данном предприятии поставлена на высокий уровень. В отдельных случаях такой сертификат выступает в роли страхового свидетельства, что сделка не провалится, что конфиденциальные сведения останутся доступны строго определенному кругу лиц.

Стандарт ISO/IEC 27001 универсален, интегрируется с другими системами менеджмента и  востребован широким кругом организаций  – промышленными предприятиями, финансовыми и  страховыми организациями, предприятиями, работающими в сфере телекоммуникаций, коммунальных услуг, торговли, сервиса, транспорта, в органах власти и т.д.

Если на предприятии уже внедрена версия ISO/IEC 27001:2005, процесс корректировки будет минимален. Если нет, система будут внедрена в соответствии с требованиями ISO/IEC 27001:2013.

Внедрение в организации системы менеджмента защиты информации ISO/IEC 27001:2013 позволяет получить ряд преимуществ:

  • повысить доверие к организации со стороны контрагентов;
  • продемонстрировать  прозрачность и чистоту бизнеса перед законом;
  • упростить процедуру выхода на внешние рынки;
  • систематизировать процессы обеспечения информационной безопасности;
  • обеспечить эффективное управление системой в критических ситуациях: своевременно выявлять риски, связанные с внешними и внутренними угрозами для бизнес-процессов,  управлять ими;
  • оптимизировать процессы менеджмента, определить личную ответственность сотрудников за утечку информации и другие последствия, связанные с нарушением требований системы информационной безопасности.

 Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации

Выполнение требований ISO/IEC 27001:2013 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:

  • разработка политики безопасности;
  • организация информационной безопасности;
  • организация управления внутренними активами и ресурсами, составляющими основу ключевых бизнес-процессов;
  • защита персонала и снижение внутренних угроз;
  • физическая безопасность и безопасность окружающей среды;
  • управление средствами связи и эксплуатацией оборудования;
  • управление и контроль доступа;
  • разработка и обслуживание аппаратно-программных систем;
  • управление непрерывностью бизнес-процессов;
  • соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

В комплекс предлагаемых нами услуг входят:

  • Проведение диагностического аудита действующей системы информационной безопасности организации: определение опасных факторов и рисков на рабочих местах, разработка реестра опасных факторов и рисков с  ранжированием их по значимости.
  • Определение защищаемой области деятельности организации через анализ структуры организации, функциональных особенностей построения бизнес-процессов и используемых в них информационных технологий.
  • Идентификация, систематизация и определение ценности информационных активов организации, оценка возможного ущерба от реализации угроз.
  • Определение должностных лиц в руководстве предприятия, ответственных за разработку и внедрение системы информационной безопасности, распределение ответственности между персоналом.
  • Разработка методики по снижению рисков, расчет эффективности внедрения комплексных мероприятий по снижению рисков,  предоставление рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации.
  • Разработка и внедрение системы информационной безопасности.
  • Обучение руководства и персонала предприятия принципам и средствам обеспечения эффективной системы информационной безопасности.
  • Проведение комплексного аудита системы информационной безопасности на предприятии для оценки его готовности к сертификации.
  • Оказание консультационной помощи при подготовке предприятия  к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2013.