ENDEUA

Результаты внедрения ISO 27001

Рекомендуем Онлайн-мастер оценки соответствия ISO 27001. Проверьте за 10 минут, насколько ваша компания соответствует ISO 27001, а также что и сколько времени вам нужно для достижения полного соответствия и сертификации.

Узнайте также, как мы внедряли ISO 27001 в компании, которая разрабатывает медицинское программное обеспечение.

Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.

Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Plan-Do-Check-Act cycle in security management
Обязательные документы, требуемые ISO 27001:2013:
  1. Описание сферы применения СУИБ (п. 4.3)
  2. Политика и цели информационной безопасности (пункты 5.2 и 6.2)
  3. Оценка рисков информационной безопасности и методология обработки рисков информационной безопасности (пункт 6.1.2)
  4. Заявление о применимости контролей ISO 27001 (Statement of Applicability, пункт 6.1.3d)
  5. План обработки рисков информационной безопасности (пункты 6.1.3e и 6.2)
  6. Отчет об оценке рисков информационной безопасности (пункт 8.2)
Обязательные документы, требуемые ISO 27002:2013 (приложением A ISO 27001:2013):
  1. Политика личных портативных устройств (Bring Your Own Device, BYOD, пункт A.6.2.1)
  2. Политика в отношении мобильных устройств и удалённой работы (пункт A.6.2.1)
  3. Определение ролей и обязанностей по безопасности (пункты A.7.1.2 и A.13.2.4)
  4. Политика приемлемого использования активов (пункт A.8.1.3)
  5. Политика классификации информации (пункты A.8.2.1, A.8.2.2 и A.8.2.3)
  6. Процедуры утилизации и уничтожения носителей информации и оборудования (пункты A.8.3.2 и A.11.2.7)
  7. Политика управления доступом (пункт A.9.1.1)
  8. Политика паролей (пункты A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 и A.9.4.3)
  9. Процедуры для работы в безопасных зонах (пункт A.11.1.5)
  10. Политика чистого стола и чистого экрана (пункт A.11.2.9)
  11. Операционные процедуры для управления ИТ (пункт A.12.1.1)
  12. Процедуры управления изменениями (пункты A.12.1.2 и A.14.2.4)
  13. Политика резервного копирования (пункт A.12.3.1)
  14. Политика передачи информации (пункты A.13.2.1, A.13.2.2 и A.13.2.3)
  15. Принципы разработки безопасных систем (пункт A.14.2.5)
  16. Политика безопасности при отношениях с поставщиками (пункт A.15.1.1)
  17. Процедура управления инцидентами безопасности (пункт A.16.1.5)
  18. Процедуры обеспечения непрерывности бизнеса (пункт A.17.1.2)
  19. Уставные, нормативные и договорные требования по безопасности (пункт A.18.1.1)
Обязательные записи, требуемые ISO 27001:2013 и ISO 27002:2013:
  1. Записи об обучении, навыках, опыте и квалификации (пункт 7.2)
  2. Результаты мониторинга и измерений (пункт 9.1)
  3. Программа внутреннего аудита (пункт 9.2)
  4. Результаты внутренних аудитов (пункт 9.2)
  5. Результаты анализа со стороны руководства (пункт 9.3)
  6. Результаты корректирующих действий (пункт 10.1)
  7. Инвентаризация активов (пункт A.8.1.1)
  8. Журналы действий пользователей, исключений и событий безопасности (пункты A.12.4.1 и A.12.4.3)
Рекомендуемые документы:
  1. Порядок управления документами по безопасности (пункт 7.5)
  2. Элементы управления записями по безопасности (пункт 7.5)
  3. Порядок внутреннего аудита безопасности (пункт 9.2)
  4. Порядок выполнения корректирующих действий по несоответствиям требованиям безопасности (пункт 10.1)
  5. Анализ влияния на бизнес инцидентов безопасности (пункт A.17.1.1)
  6. План тренировок и испытаний непрерывности бизнеса (пункт A.17.1.3)
  7. План технического обслуживания и проверок средств обработки информации (пункт A.17.1.3)
  8. Стратегия обеспечения непрерывности бизнеса (пункт A.17.2.1)
Информационная безопасность - это как охрана здоровья

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.

Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.


Выберите, пожалуйста, что вам интереснее: бесплатно оценить соответствие вашей организации ISO 27001 онлайн за несколько минут:


или получить бесплатно консультацию по внедрению ISO 27001:


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
Offensive Security
OSCP
ISACA
CISA
CISM
Microsoft
PECB
LPTP
Qualys
PECB
LPTP
BSI
LPTP
BSI