Как установить систему управления информационной безопасностью ISO 27001

Создание Системы управления информационной безопасностью является очень трудоемким процессом. Тем не менее, установление стандартов о том, как обеспечить информационную безопасность и как лучше защитить информацию, является решающим результатом для этой организации.

Система управления информационной безопасностью путь, которым будет следовать каждая организация, практически одинаков.

Область исследования информационной безопасности

Первое, что нужно сделать, это определить объем и пределы исследования. Система может быть настроена для всей организации или для конкретного отдела. В любом случае границы исследования должны быть полными и правильно определенными. Масштаб должен быть определен в соответствии с решением высшего руководства и целями информационной безопасности организации.

Политика информационной безопасности

Эта политика определяется высшим руководством и устанавливает цели исследования и определяет риски, которые необходимо оценить, и критерии управления рисками. Высшее руководство всегда должно поддерживать политику информационной безопасности.

Метод оценки риска

Метод оценки риска должен быть идентифицирован в соответствии с политикой информационной безопасности. Соответственно, следует определить приемлемые уровни риска и установить критерии. Информация, которая должна быть защищена путем создания карты рисков, должна определяться в зависимости от степени воздействия и вероятности возникновения риска.

Выявление рисков

Риски, которые угрожают существованию информации, должны быть идентифицированы с использованием метода оценки риска, который должен быть определен. В этом исследовании будет подготовлен перечень информационных активов. Информационные активы, которые будут включены в систему управления информационной безопасностью, будут перечислены в соответствии с их типом и серьезностью. Появление сверхсекретной информации может нанести большой вред организации, но сделать эту информацию непригодной для использования может быть менее вредной.

Оценка рисков

Меры, которые необходимо предпринять для определения рисков, определяются на этом этапе. Риск может быть устранен или уменьшен до приемлемого уровня с помощью соответствующего контроля. Или факторы риска устраняются, а риск избегается.

Утверждение высшего руководства

После завершения исследования по управлению рисками необходимо получить разрешение старшего руководства на его применение.

Если риск не может быть полностью устранен, он может быть приемлемым риском по усмотрению высшего руководства.

Система управления информационной безопасностью ISO 27001организации могут обратиться к опытным менеджерам и сотрудникам сертификационной организации TURCERT за консультационными услугами.