Независимо от сектора, в котором работает организация, независимо от ее размера, она создает информацию внутри себя, и каждая информация является ценной. Хотя действия, которые необходимо выполнить для защиты информации, и объем этих исследований варьируются в зависимости от характеристик организации, они будут установлены в качестве основы. Система управления информационной безопасностьюбудет иметь следующую область:

  • Политика безопасности: высшее руководство организации, информационная безопасность политика, которой нужно следовать и объяснять.
  • Классификация информации: информационные активы должны быть инвентаризованы, и их важность должна быть определена.
  • Обеспечение безопасности персонала. Это исследование предотвращает ошибки сотрудников и сводит к минимуму риск неправильного использования информации.
  • Обеспечение физической безопасности: сводит к минимуму атаки на источники информации и риск повреждения или изменения информации.
  • Обеспечение эксплуатационной безопасности: компьютерные системы должны быть достаточными и надежными. Кроме того, эти системы должны постоянно развиваться.
  • Контроль доступа к информации: только уполномоченные лица должны иметь доступ к информации.
  • Обеспечение быстрого реагирования во время инцидента: своевременное и быстрое реагирование должно быть возможным в зависимости от того, каким образом происходят нарушения безопасности.
  • Обеспечение непрерывности работы: атаки на информацию не должны прерывать основные работы организации и должны иметь возможность очень быстро вернуться в обычную среду.
  • Соответствие: Система управления информационной безопасностью должна быть на уровне, достаточном для удовлетворения требований нормативных требований.

Вопреки распространенному мнению, Система управления информационной безопасностью - это не только проект информационных технологий в организации. Эта система является проектом информационной безопасности, который касается всей организации. Поэтому высшее руководство несет ответственность не за создание и эксплуатацию этой системы, а за устройства обработки данных.

Хотя система управления информационной безопасностью, по-видимому, связана с единицей обработки информации, на самом деле она связана со всеми единицами и процессами организации.

На эти недоразумения может повлиять тот факт, что информационная безопасность еще не установлена. Создание системы управления информационной безопасностью Поскольку нет никаких обязательств, управление информационной безопасностью не стало широко распространенным в государственных учреждениях или частном секторе, как ожидалось.

Для получения дополнительной информации о стандартной области применения системы управления информационной безопасностью ISO 27001, пожалуйста, свяжитесь с опытными руководителями и сотрудниками органа по сертификации TURCERT.