Знание является одной из важнейших ценностей организации в обеспечении непрерывности бизнеса. В случае потери многих активов потерянная информация не имеет денежного эквивалента. По этой причине в современных меняющихся и развивающихся условиях важность информации и необходимость защиты постепенно возрастают. информация; Он может использоваться и храниться в письменном виде, в электронных средствах массовой информации, в устной форме, памяти сотрудников и во многих других форматах. Из-за технологических достижений многие из этих форм использования могут меняться или не меняться со временем. Из-за этого изменения и развития безопасность информации должна постоянно подвергаться сомнению и контролироваться. Информационная безопасность - это защита конфиденциальности, целостности и удобства использования информации.
Система управления информационной безопасностью ISO 27001 - это система управления, которая включает людей, процессы и информационные системы в обеспечение корпоративной информационной безопасности и поддерживается высшим руководством. Он предназначен для защиты информационных активов и обеспечения адекватных и пропорциональных мер безопасности, которые дают уверенность заинтересованным сторонам. Система управления информационной безопасностью ISO 27001 включает корпоративную структуру, политики, деятельность по планированию, обязанности, приложения, процедуры, процессы и ресурсы.Основы стандартов системы управления информационной безопасностью ISO 27001 и ISO 27002 основаны на стандарте BS 7799. BS 7799 BSI (Британский институт стандартов) был опубликован в 1995 и состоит из двух частей. Первая часть, BS 7799-1, включала лучшие практики для управления информационной безопасностью. В 2000 этот стандарт был принят ISO и опубликован как ISO 17799 Информационные технологии - Принципы применения для управления информационной безопасностью. ISO 17799 2007 был включен в серию ISO 27000 как ISO 27002. Вторая часть была выпущена BSI в 7799 под названием BS 2 1999 Требования к системе управления информационной безопасностью. Этот стандарт сфокусирован на том, как установить СМИБ. В 2005 он был опубликован ISO под названием «Требования к системе управления информационной безопасностью ISO 27001». ISO 27001 и самые последние версии стандартов 27002 были опубликованы на 25.09.2013.
ISO / IEC 27001: 2013 определяет требования к установке, внедрению, выполнению и постоянному совершенствованию системы управления информационной безопасностью в рамках организации. Он также включает требования к оценке и улучшению рисков информационной безопасности, связанных с потребностями организации. ISO / IEC 27001: требования, приведенные в 2013, являются общими и предназначены для применения ко всем, независимо от типа, размера и характера организаций. ИСО 27001 требует от организаций подготовки планов управления рисками и обработки рисков, задач и обязанностей, планов обеспечения непрерывности бизнеса, процедур управления аварийными ситуациями и ведения их учета на практике. Органу следует издавать политику информационной безопасности, которая включает все эти виды деятельности, и повышать осведомленность своего персонала об информационной безопасности и угрозах. Управление информационной безопасностью может быть достигнуто только при активной поддержке со стороны руководства и при участии персонала в качестве живого процесса, в котором измеряются выбранные цели контроля и непрерывно контролируется соблюдение и выполнение мер контроля.
