2019/12/02 16:48:30

ISO/IEC 27001

.

Содержание

ISO/IEC 27701

28 ноября 2019 года стало известно, что BSI, компания по улучшению бизнеса, запустила глобальную схему сертификации на соответствие требованиям ISO/IEC 27701, чтобы помочь организациям создавать, внедрять и поддерживать систему управления конфиденциальной информацией.

Первые организации, сертифицированные BSI по данному стандарту: Accenture plc, Alibaba Cloud Computing Ltd., Alibaba.com Singapore E-Commerce Private Limited., Beijing Microlive Vision Technology Co., Ltd, Blackhawk Network Inc., Huawei Software Technologies Co., Ltd Huawei Mobile Services (HMS), Huawei Cloud, Lotte Duty Free, PwC Mauritius, and Ribose Group Inc.

Перед организациями стоит двойная задача — собирать и обрабатывать растущий объем данных, обеспечивая при этом соответствие новому, постоянно расширяющемуся списку правил о конфиденциальности и законодательству, разрабатываемому во всем мире. Схема сертификации основана на стандарте ISO/IEC 27701:2019 Меры и средства обеспечения безопасности — Расширение ISO/IEC 27001. Стандарт, опубликованный в августе, предоставляет организациям руководство по операционному контролю для обеспечения соответствия требованиям о конфиденциальности данных, таким как Общие положения ЕС о защите данных (GDPR), Калифорнийский закон о защите частной жизни потребителей (CCPA) и Общий закон о защите данных Бразилии (LGPD). Стандарт является расширением системы менеджмента информационной безопасностью ISO/IEC 27001.

Для успешного прохождения сертификации на соответствие требованиям стандарта, организации необходимо пройти независимую оценку, включающую тщательный аудит производственной площадки, охватывающий все требования ISO/IEC 27701. Организация, соответствующая требованиям данного стандарта, должна иметь документальное подтверждение того, каким образом она обрабатывает персонально идентифицируемую информацию (PII). Такое подтверждение также может способствовать облегчению достижения договоренностей между деловыми партнерами, когда обработка информации личного характера является актуальной. Одним из критериев прохождения сертификации является наличие сертификата соответствия и действующей системы менеджмента информационной безопасности ISO/IEC 27001.

«
Для поддержания устойчивого развития организации должны обеспечивать защиту личных данных, к которым они получают доступ, собирают, хранят, обрабатывают и используют. Это становится все более сложной задачей, учитывая растущий объем данных, которым должны управлять организации, и постоянно развивающиеся требования мирового законодательства о конфиденциальности персональных данных. Прохождение сертификации на соответствие этому стандарту помогает создать доверие и прозрачность отношений между партнерами. Обладая сертификатом, организация может продемонстрировать свое добросовестное отношение и проактивный подход к защите данных. Мы рады представить организации, прошедшие сертификацию, в рамках нашей глобальной программы для первых последователей данного стандарта, что является огромным достижением,
прокомментировал Ахмад Алхатиб, директор по развитию бизнеса независимой экспертизы в BSI[1]
»

ISO/IEC 27001:2013

Стандарт ISO/ IEC 27001: 2013 представляет собой описания лучших мировых практик в области управления информационной безопасностью и устанавливает требования к системе менеджмента информационной безопасности.

ISO/IEC 27001:2005

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в среде существующих бизнес-процессов организации.

ISO 27001

Стандарт ISO 27001 обобщает мировой опыт в управлении информационной безопасностью и описывает методологию создания комплексных систем управления информационной безопасностью. Стандарт определяет требования к классификации данных, системе контроля доступа, ответственности сотрудников, безопасности персонала, а также другим аспектам информационной безопасности. Система менеджмента, разработанная в соответствии с этим стандартом, позволяет эффективно планировать, контролировать и управлять процессами защиты информации предприятия.

ISO 27001 является международным стандартом, по которому проводится официальная сертификация систем управления информационной безопасностью. Стандарт ISO/IEC 27001:2005 представляет собой модель системы менеджмента в области информационной безопасности. В нем определены требования к разработке, поддержанию и совершенствованию документированной системы управления информационной безопасностью.

Согласно отчету Analysys Mason, примерно 33% поставщиков облачных сервисов придерживаются стандарта ISO 27001. Он был принят в 2005 году и формулирует требования к системе управления информационной безопасностью (ISMS). Цель данного стандарта - установить правила создания, внедрения, использования, мониторинга, проверки, сопровождения и совершенствования ISMS, которая представляет собой свод политик и процедур, включающих все физические, технические и юридические средства контроля, задействованные в процессах управления рисками, связанными с использованием информации в организациях.

Компании, сертифицированные в России

В сентябре 2014 года Step Logic (Стэп Лоджик) выполнил требования Британского Института Стандартов (BSI) для вступления в программу ассоциированных консультантов (ACP), подтвердив высокую квалификацию и большой опыт своих специалистов в разработке и внедрении систем менеджмента информационной безопасности.

Летом 2014 года компания BDO Unicon Outsourcing прошла проверку на соответствие новому международному стандарту информационной безопасности ISO 27001:2013 и получила соответствующий сертификат. Она стала первой организацией в России, подавшей заявку на сертификационный аудит по новой версии стандарта, и одной из первых, получивших сертификат.

Сотрудники BDO Unicon Outsourcing прошли обучение ISO 27001 в российском филиале British Standards Institution (BSI) и привели систему управления информационной безопасностью в соответствие с последними требованиями стандарта.


9 февраля 2011 г. ЛАНИТ объявил об успешном прохождении ресертификационного аудита собственной системы управления информационной безопасностью (СУИБ) на соответствие требованиям международного стандарта ISO/IEC 27001:2005. Такой аудит проводится раз в 3 года. Компания ЛАНИТ была сертифицирована BSI в 2007 году. Продление действия сертификата на следующие 3 года – это гарантия того, что информация партнеров и клиентов, находящаяся в области применения СУИБ ЛАНИТ, надежно защищена.

Аудит системы управления информационной безопасностью ЛАНИТ проводила компания BSI Management Systems – признанный лидер в области предоставления услуг сертификации и автор британских стандартов, впоследствии принятых в ISO.

Примечания

Смотрите также