Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;
Do (действие) — этап реализации и внедрения соответствующих мер;
Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;
Act (улучшения) — выполнение превентивных и корректирующих действий;

В России принят ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Этапы внедрения СМИБ

Определение должностных лиц, отвечающих за аспекты информационной безопасности
Для эффективного функционирования СМИБ следует использовать непрерывный циклический процесс, который включает в себя следующие этапы:

разработка (планирование);
внедрение (реализация плана);
проверка (анализ эффективности и работоспособности внедренных мер);
совершенствование (устранение обнаруженных недостатков

См. также

Серия ISO 27000
Cobit
ISO/IEC 27001

Ссылки

Международная организация по стандартизации, ИСО

Бесплатный шаблон по внедрению СМИБ на платформе Trello

Оригинал ISO 27001 Британского института стандартов

Похожие исследовательские статьи

Стейкхо́лдер, также заинтересованная сторона, причастная сторона, участник работ, роль в проекте — лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиям.

ХАССП — концепция, предусматривающая систематическую идентификацию, оценку и управление опасными факторами, существенно влияющими на безопасность продукции.

ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

ISO 14000 – международный стандарт, содержащий требования к системе экологического управления, по которым проходит сертификация.

OHSAS 18000 – это серия стандартов, содержащих требования и руководящие указания к разработке и внедрению систем менеджмента профессиональной безопасности и охраны труда (СМПБиОТ), применение которых обеспечивает возможность организации управлять рисками в системе менеджмента и повышать эффективность ее функционирования. Требования стандартов относятся именно к безопасности труда, а не безопасности продукции или услуг компании.

Стандарты информационной безопасности — это методы, обычно изложенные в опубликованных материалах, которые используются для защиты киберсреды пользователя или организации.

Система менеджмента качества (СМК) — совокупность организационной структуры, методик, процессов и ресурсов, необходимых для общего руководства качеством. Она предназначена для постоянного улучшения деятельности, для повышения конкурентоспособности организации на национальном и мировом рынках, определяет конкурентоспособность любой организации.. Она является частью системы менеджмента организации.

Экологический менеджмент — часть общей системы корпоративного управления, которая обладает четкой организационной структурой и ставит целью достижение положений, указанных в экологической политике посредством реализации программ по охране окружающей среды.

ISO 22000 — серия международных стандартов на системы менеджмента в области безопасности пищевой продукции.

Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту.

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности

ISO 20000 — международный стандарт для управления и обслуживания IT сервисов. Данный стандарт был создан в 2005 году и заменил более ранний стандарт BS 15000, который был создан Британским институтом стандартов.

ISO/IEC 12207:2008 Systems and software engineering — Software life cycle processes — стандарт ISO, описывающий процессы жизненного цикла программного обеспечения.

ISO 50001 — международный стандарт, созданный Международной организацией по стандартизации для управления энергосистемами, который определяет требования для установки, внедрения, сопровождения и улучшения системы энергоменеджмента, цель которой — позволить организации следовать системному подходу в достижении последовательного улучшения энергосистемы, включая энергоэффективность, энергобезопасность и энергопотребление.

ISO 19011:2011 «Руководящие указания по аудиту систем менеджмента» — международный стандарт, содержащий руководящие указания по аудиту систем менеджмента организаций.

Система управления качеством — организационная структура, включающая взаимодействующий управленческий персонал, реализующий функции управления качеством установленными методами.

ISO 13485 — международный отраслевой стандарт, который был разработан Международной организацией по стандартизации. Стандарт содержит требования к системе менеджмента качества производителей медицинских изделий. Требования к системе менеджмента качества, установленные в стандарте, являются дополнительными по отношению к техническим требованиям к продукции. Данный вид стандарта является добровольным к применению.

Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

ISO 31000 — семейство стандартов, касающихся риск-ориентированного управления организацией.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.