Cистем менеджмента информационной безопасности СТ РК ИСО/МЭК 27001-2008/ISO 27001:2005
Стандарт ISO/IEC 27001 разработан совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1.
Стандарт ISO/IEC 27001 описывает лучшие мировые практики в области управления информационной безопасностью и устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Понятие «защиты информации» трактуется в стандарте как обеспечение конфиденциальности, целостности и доступности информации. В основу стандарта ISO/IEC 27001 заложена система управление рисками, связанными с информацией.
Система управления рисками позволяет получать ответы на следующие вопросы:
• на каком направлении информационной безопасности требуется сосредоточить внимание;
• cколько времени и какие средства можно потратить на данное техническое решение для защиты информации.
Благодаря согласованности с другими стандартами ISO, стандарт ISO/IEC 27001 позволяет органично вписать управление информационной безопасностью в другие бизнес-процессы, не ущемляя ни права пользователей, ни возможности сотрудников отдела информационной безопасности.