Discover the new ISO/IEC 27001:2022 Handbook
The purpose of this handbook is to assist SMEs in establishing and maintaining an ISMS as per ISO/IEC 27001, the premier standard for information security.
Что представляет собой ISO/IEC 27001?
ISO/IEC 27001 - это самый известный в мире стандарт для систем управления информационной безопасностью (СУИБ). Он определяет требования, которым должны соответствовать СУИБ.
Стандарт ISO/IEC 27001 предоставляет компаниям любого размера и из всех отраслей деятельности руководство по созданию, внедрению, поддержанию и постоянному совершенствованию систем управления информационной безопасностью.
Соответствие стандарту ISO/IEC 27001 означает, что организация или предприятие внедрило систему управления рисками, связанными с безопасностью данных, принадлежащих компании или обрабатываемых ею, и что в этой системе соблюдены все лучшие практики и принципы, закрепленные в данном международном стандарте.
Почему стандарт ISO/IEC 27001 важен?
В условиях роста киберпреступности и постоянного появления новых угроз управление киберрисками многим может показаться сложным или даже абсолютно невозможным. ISO/IEC 27001 помогает организациям осознавать риски и превентивно выявлять и устранять слабые места.
ISO/IEC 27001 продвигает целостный подход к информационной безопасности, который включает в себя проверку как людей, так и политик и технологий. Система управления информационной безопасностью, внедренная в соответствии с данным стандартом, является инструментом для управления рисками, обеспечения киберустойчивости и оптимизации бизнес-процессов.
Получайте дополнительные выгодные предложения прямо на почту!
Зарегистрируйтесь, чтобы получать обновления и ссылки на сопутствующие ресурсы, начиная с перечня факторов зрелости в области информационной безопасности!
How your data will be used
Please see ISO privacy notice. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Преимущества
- Устойчивость к кибератакам
- Готовность к новым угрозам
- Целостность, конфиденциальность и доступность данных
- Безопасность на всех уровнях
- Защита в масштабах всей организации
- Экономия средств
FAQ
В настоящее время кража данных, киберпреступность и ответственность за утечку конфиденциальной информации являются рисками, которые необходимо учитывать всем организациям, независимо от их размера и сферы деятельности. Любое предприятие должно стратегически продумать свои потребности в информационной безопасности и то, как они соотносятся с его собственными целями, процессами, размером и структурой. Стандарт ISO/IEC 27001 позволяет организациям создать систему управления информационной безопасностью и применять процесс управления рисками, адаптированный к их размерам и потребностям, и масштабировать его когда необходимо, по мере развития вышеуказанных факторов.
Хотя информационные технологии (ИТ) являются отраслью с наибольшим числом (почти пятая часть всех действующих сертификатов на ISO/IEC 27001 по данным опроса ISO Survey 2021), преимущества данного стандарта убедили компании, занятые во всех секторах экономики (все виды услуг и производства, а также первичный сектор; частные, государственные и некоммерческие организации) начать его использование.
Компании, применяющие целостный подход, описанный в ISO/IEC 27001, гарантируют, что информационная безопасность встроена в их организационные процессы, информационные системы и управленческий контроль. С помощью данного стандарта они повышают свою эффективность и часто становятся лидерами в своих отраслях.
Внедрение системы информационной безопасности, указанной в стандарте ISO/IEC 27001, поможет вам:
- снизить уязвимость перед растущей угрозой кибератак
- своевременно реагировать на изменяющиеся риски безопасности
- убедиться, что такие активы, как финансовая отчетность, интеллектуальная собственность, данные сотрудников и информация, доверенная третьим лицам, остаются неповрежденными, конфиденциальными и доступными по мере необходимости
- обеспечить централизованное управление системой, обеспечивающей защиту всей информации в одном месте
- подготовить людей, процессы и технологии в рамках всей организации к противостоянию технологическим рискам и другим угрозам
- защитить информацию во всех её проявлениях, включая бумажные, облачные и цифровые данные
- сэкономить средства за счет повышения эффективности и сокращения расходов на неэффективные технологии защиты
- Конфиденциальность
→ Значение: Только определенный круг людей может получить доступ к информации, хранящейся в организации.
⚠ Пример риска: Преступники завладели регистрационными данными ваших клиентов и продают их в даркнете. - Целостность информации
→ Значение: Данные, которые организация использует для ведения своего бизнеса или хранит для других, надежно хранятся, не стираются и не повреждаются никоим образом.
⚠ Пример риска: Сотрудник случайно удаляет строку в файле во время его обработки. - Доступность данных:
→ Значение: Организация и ее клиенты имеют возможность доступа к информации, когда это необходимо, для удовлетворения деловых целей и ожиданий клиентов.
⚠ Пример риска: База данных вашего предприятия выходит из строя из-за проблем с сервером и недостаточного резервного копирования.
Система менеджмента информационной безопасности, отвечающая требованиям стандарта ISO/IEC 27001, сохраняет конфиденциальность, целостность и доступность информации путем применения процесса управления рисками и дает уверенность заинтересованным сторонам в том, что риски адекватно управляются.
Несмотря на то, что иногда его называют ISO 27001, официальная аббревиатура Международного стандарта по требованиям к управлению информационной безопасностью - ISO/IEC 27001. Это связано с тем, что он был опубликован совместно ИСО и Международной электротехнической комиссией (МЭК). Номер указывает на то, что он был опубликован под руководством Подкомитета 27 (по информационной безопасности, кибербезопасности и защите конфиденциальности) Объединенного технического комитета по информационным технологиям ИСО и МЭК (ИСО/МЭК СТК 1).
Сертификация по ISO/IEC 27001 - это один из способов продемонстрировать заинтересованным сторонам и клиентам, что вы готовы и способны управлять информацией надежно и безопасно. Наличие сертификата, выданного аккредитованным органом по оценке соответствия, может обеспечить дополнительный уровень доверия, поскольку орган по аккредитации предоставил независимое подтверждение компетентности органа по сертификации. Если вы хотите использовать логотип для демонстрации сертифицированности, обратитесь в орган по сертификации, выдавший сертификат. Как и в других случаях, стандарты всегда должны упоминаться с полной ссылкой, например, "сертифицирован по ISO/IEC 27001:2022" (а не просто "сертифицирован по ISO 27001"). См. подробную информацию об использовании логотипа ИСО.
Как и в случае с другими стандартами ИСО на системы менеджмента, компании, внедряющие ISO/IEC 27001, могут решить, хотят ли они пройти процесс сертификации. Некоторые организации решают внедрить стандарт, чтобы воспользоваться передовым опытом, который он содержит, другие же хотят пройти сертификацию, чтобы успокоить клиентов и заказчиков.
Стандарт ISO/IEC 27001 широко используется во всем мире. По данным исследования "Отчет ISO 2022", было зарегистрировано более 70 000 таких сертификатов в более чем 150 странах и во всех секторах экономики, начиная от сельского хозяйства, производственной сферы и заканчивая социальными услугами.
Общая информация
-
Текущий статус: ОпубликованоДата публикации: 2022-10Этап: Опубликование международного стандарта [60.60]
-
Версия: 3
-
Технический комитет :ISO/IEC JTC 1/SC 27
- RSS обновления
Information Security Management Systems: A practical guide for SMEs
This handbook focuses on guiding SMEs in developing and implementing an information security management system (ISMS) in accordance with ISO/IEC 27001, in order to help protect yourselves from cyber-risks.
ISO/IEC 27001:2022 - Information Security Management Systems - A practical guide for SMEs
Изменения
Поправки принимаются, когда обнаруживается, что в существующий документ по стандартизации необходимо добавить новый материал. В них также могут быть включены редакционные или технические исправления, которые необходимо внести в существующий документ.
Жизненный цикл
-
Ранее
ОтозваноISO/IEC 27001:2013
ОтозваноISO/IEC 27001:2013/Cor 1:2014
ОтозваноISO/IEC 27001:2013/Cor 2:2015
-
Сейчас
-
00
Предварительная стадия
-
10
Стадия, связанная с внесением предложения
-
20
Подготовительная стадия
-
30
Стадия, связанная с подготовкой проекта комитета
-
40
Стадия, связанная с рассмотрением проекта международного стандарта
-
50
Стадия, на которой осуществляется принятие стандарта
-
60
Стадия, на которой осуществляется публикация
-
90
Стадия пересмотра
-
95
Стадия, на которой осуществляется отмена стандарта
Изменения
Содержат дополнительные материалы; доступны для приобретения; не включены в текст действующего стандарта.ОпубликованоISO/IEC 27001:2022/Amd 1:2024
-
00