Результаты внедрения ISO 27001
Узнайте также, как мы внедряли ISO 27001 в компании, которая разрабатывает медицинское программное обеспечение.
Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.
Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Обязательные документы, требуемые ISO 27001:2013:
- Описание сферы применения СУИБ (п. 4.3)
- Политика и цели информационной безопасности (пункты 5.2 и 6.2)
- Оценка рисков информационной безопасности и методология обработки рисков информационной безопасности (пункт 6.1.2)
- Заявление о применимости контролей ISO 27001 (Statement of Applicability, пункт 6.1.3d)
- План обработки рисков информационной безопасности (пункты 6.1.3e и 6.2)
- Отчет об оценке рисков информационной безопасности (пункт 8.2)
Обязательные документы, требуемые ISO 27002:2013 (приложением A ISO 27001:2013):
- Политика личных портативных устройств (Bring Your Own Device, BYOD, пункт A.6.2.1)
- Политика в отношении мобильных устройств и удалённой работы (пункт A.6.2.1)
- Определение ролей и обязанностей по безопасности (пункты A.7.1.2 и A.13.2.4)
- Политика приемлемого использования активов (пункт A.8.1.3)
- Политика классификации информации (пункты A.8.2.1, A.8.2.2 и A.8.2.3)
- Процедуры утилизации и уничтожения носителей информации и оборудования (пункты A.8.3.2 и A.11.2.7)
- Политика управления доступом (пункт A.9.1.1)
- Политика паролей (пункты A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 и A.9.4.3)
- Процедуры для работы в безопасных зонах (пункт A.11.1.5)
- Политика чистого стола и чистого экрана (пункт A.11.2.9)
- Операционные процедуры для управления ИТ (пункт A.12.1.1)
- Процедуры управления изменениями (пункты A.12.1.2 и A.14.2.4)
- Политика резервного копирования (пункт A.12.3.1)
- Политика передачи информации (пункты A.13.2.1, A.13.2.2 и A.13.2.3)
- Принципы разработки безопасных систем (пункт A.14.2.5)
- Политика безопасности при отношениях с поставщиками (пункт A.15.1.1)
- Процедура управления инцидентами безопасности (пункт A.16.1.5)
- Процедуры обеспечения непрерывности бизнеса (пункт A.17.1.2)
- Уставные, нормативные и договорные требования по безопасности (пункт A.18.1.1)
Обязательные записи, требуемые ISO 27001:2013 и ISO 27002:2013:
- Записи об обучении, навыках, опыте и квалификации (пункт 7.2)
- Результаты мониторинга и измерений (пункт 9.1)
- Программа внутреннего аудита (пункт 9.2)
- Результаты внутренних аудитов (пункт 9.2)
- Результаты анализа со стороны руководства (пункт 9.3)
- Результаты корректирующих действий (пункт 10.1)
- Инвентаризация активов (пункт A.8.1.1)
- Журналы действий пользователей, исключений и событий безопасности (пункты A.12.4.1 и A.12.4.3)
Рекомендуемые документы:
- Порядок управления документами по безопасности (пункт 7.5)
- Элементы управления записями по безопасности (пункт 7.5)
- Порядок внутреннего аудита безопасности (пункт 9.2)
- Порядок выполнения корректирующих действий по несоответствиям требованиям безопасности (пункт 10.1)
- Анализ влияния на бизнес инцидентов безопасности (пункт A.17.1.1)
- План тренировок и испытаний непрерывности бизнеса (пункт A.17.1.3)
- План технического обслуживания и проверок средств обработки информации (пункт A.17.1.3)
- Стратегия обеспечения непрерывности бизнеса (пункт A.17.2.1)

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.
Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.
Выберите, пожалуйста, что вам интереснее: бесплатно оценить соответствие вашей организации ISO 27001 онлайн за несколько минут:
или получить бесплатно консультацию по внедрению ISO 27001:
Кто мы, что делаем и что предлагаем.