Информационная безопасность: ISO/IEC 27001, новая версия для лучшего управления рисками.
Международный стандарт ISO/IEC 27001 совсем недавно был пересмотрен. Это один из основных стандартов – он устанавливает существенные требования для системы менеджмента информационной безопасности (СМИБ). Узнайте, что появилось нового!
Коммуникационные технологии продолжают набирать обороты, и стандарт ISO/IEC 27001 вынужден учитывать их изменения и последующие риски. Некоторые пункты необходимо было уточнить, а так же облегчить интеграцию стандарта в систему менеджмента принятием Руководства 83. Данная структура, общая для всех систем менеджмента, основана на принципе PDCA. Обновление обеспечивает пользователям более полный контроль над целями безопасности, позволяя улучшить эффективность и управление безопасностью.
Каковы основные отличия от версии 2005 года?
Область применения стандарта была упрощена, чтобы сделать его доступным более широкому кругу организаций. Концепция PDCA и постоянного улучшения была усилена, неоднократно подчеркивается важность приверженности высшего руководства при внедрении СМИБ. Заинтересованные стороны охвачены более полно. Акцент делается на профессиональный опыт, осведомленность и обучение персонала. Мы отмечаем, что область применения стандарта ограничена в части преемственности информационной безопасности, и более не устанавливает требований, касающихся непрерывности деятельности организации.
Основной стандарт
ISO/IEC 27001 описывает создание, внедрение, поддержание и постоянное улучшение СМИБ. Создание системы менеджмента в организации дает ответы на вопросы безопасности, конфиденциальности и управления рисками. Заданные требования следуют процессам PDCA (Планируй-Делай-Проверяй-Воздействуй). Они универсальны и разработаны для всех организаций независимо от их типа, размера и природы.
Стандарт дает рекомендации по ролям, ответственности и полномочиям в организации в отношении СМИБ, действиям, которые следует предпринять в части рисков и возможностей, целям, которые следует установить для достижения информационной безопасности, требуемым навыкам и внутренним ресурсам, оценке функционирования системы менеджмента.
Также стандарт включает требования по оценке и обращению с рисками информационной безопасности применительно к потребностям организации.
Эксперты из Стандартизационного комитета AFNOR «Безопасность информационных систем» пристально следили за международной работой над этим стандартом, и в данный момент занимаются выпуском французской версии, планируемой к реализации в конце 2013 года.