Серия стандартов по менеджменту информационной безопасности ISO/IEC 27000 разрабатывается техническим комитетом ISO/IEC JTC 1 подкомитетом SC 27.
Система менеджмента информационной безопасности (СМИБ) содержит в себе требования по реализации и совершенствованию систем управления защитой информации и основывается на модели PDCA (Plan-Do-Check-Act):
- создание - идентификация активов, менеджмент рисков;
- внедрение - этап реализации соответствующих мер по управлению безопасностью;
- проверка - мониторинг и анализ;
- действие - поддержание в рабочем состоянии и улучшение.
Исходя из этого видно, что кроме разработки правил управления и обеспечения безопасности, не менее важно обеспечить цикличность всех процессов по управлению безопасностью, чтобы все процедуры последовательно проходили этапы модели PDCA. Именно это говорит о соответствии системы управления стандарту ISO 27001 и свидетельствует о готовности к сертификации СМИБ.
Выполнение требований стандарта ISO/IEC 27001 главным образом позволяет минимизировать риски потерь активов предприятия/организации, а следовательно сократить финансовые потери.
Стандарт ISO/IEC 27001 предназначен для сертификации систем информационной безопасности.
Сертификация системы менеджмента информационной безопасностью (сертификация СМИБ) - это эффективное управление бизнес-процессами предприятия/организации, информационными рисками, а также свидетельство о устойчивой, развивающийся и надежной компании, что в свою очередь дает позитивное отношение бизнес-партнеров.
СМИБ в соответствии со стандартом ISO/IEC 27001 — это часть общей системы менеджмента компании.
Семейство стандартов ISO 27000
включает в себя следующие документы, касающиеся систем менеджмента ИБ:
ISO/IEC 27001 Information security management systems. Requirements - Системы менеджмента информационной безопасностью. Требования.
ISO/IEC 27000 Information security management systems. Overview and vocabulary - Системы менеджмента информационной безопасности. Обзор и терминология.
ISO/IEC 27003 Information Security Management Systems. Guidance - Системы менеджмента информационной безопасности. Руководство.
ISO/IEC 27004 Information security management. Measurement - Измерение эффективности системы менеджмента информационной безопасности.
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems - Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасностью.
ISO/IEC 27007 Guidelines for Information Security Management Systems auditing (FCD) - Руководство для аудита СМИБ.
Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания СМИБ.