ISO/IEC 27001 — это международный стандарт управления информационной безопасностью. Стандарт был первоначально опубликован совместно Международной организацией по стандартизации ( ISO) и Международной электротехнической комиссией (IEC) в 2005 г. [1] , а затем пересмотрен в 2013 г. [2] . система управления информационной безопасностью (СУИБ) — цель которой — помочь организациям сделать свои информационные активы более безопасными. [3] Европейское обновление стандарта было опубликовано в 2017 году. [4]Организации, отвечающие требованиям стандарта, могут пройти сертификацию в аккредитованном органе по сертификации после успешного завершения аудита . Эффективность процесса сертификации ISO/IEC 27001 и общего стандарта рассматривалась в недавнем крупномасштабном исследовании. [5]
В большинстве организаций имеется ряд средств контроля информационной безопасности . Однако без системы управления информационной безопасностью (ISMS) средства контроля имеют тенденцию быть несколько дезорганизованными и разрозненными, часто внедряясь как точечные решения для конкретных ситуаций или просто по соглашению. Действующие меры безопасности обычно касаются определенных аспектов информационных технологий (ИТ) или безопасности данных .конкретно; в результате чего информационные активы, не связанные с ИТ (например, документы и собственные знания), в целом менее защищены. Более того, планированием непрерывности бизнеса и физической безопасностью можно управлять совершенно независимо от ИТ или информационной безопасности, в то время как методы управления персоналом могут мало учитывать необходимость определения и распределения ролей и обязанностей в области информационной безопасности во всей организации.
Какие элементы управления будут протестированы в рамках сертификации по ISO/IEC 27001, зависит от аудитора по сертификации. Сюда могут входить любые средства контроля, которые, по мнению организации, входят в область применения СМИБ, и это тестирование может быть любой глубины или степени, которые оцениваются аудитором, как это необходимо для проверки того, что средство контроля было реализовано и работает эффективно.
Руководство определяет объем СМИБ для целей сертификации и может ограничить его, скажем, одним бизнес-подразделением или местоположением. Наличие сертификата ISO/IEC 27001 не обязательно означает, что остальная часть организации за пределами области применения имеет адекватный подход к управлению информационной безопасностью.
Другие стандарты из семейства стандартов ISO/IEC 27000 предоставляют дополнительные рекомендации по определенным аспектам проектирования, внедрения и эксплуатации СМИБ, например, по управлению рисками информационной безопасности ( ISO/IEC 27005 ).
BS 7799 был стандартом, первоначально опубликованным BSI Group [6] в 1995 году. Он был написан Министерством торговли и промышленности Великобритании (DTI) и состоял из нескольких частей.