Стандарт системы менеджмента информационной безопасности ISO / IEC 27001 - один из крупнейших стандартов, созданных ISO. Компании должны выполнять требования стандарта ISO / IEC 27001, чтобы предотвратить все уязвимости, которые могут повлиять на конфиденциальность, целостность и доступность их информации. 

Стандарт ISO / IEC 27001 - это стандарт, используемый в процессах сертификации, в котором подробно описаны основные правила информационной безопасности семейства ISO / IEC 27000. Например; Отраслевой в семействе ISO / IEC 27000; ISO / IEC 27019 (для отрасли энергетики), ISO / IEC 27018 (для отрасли облачных вычислений), ISO / IEC 27799 (для отрасли здравоохранения) и т. Д. Также доступны другие стандарты. На этапе сертификационных аудитов проводится сертификационный аудит стандарта ISO / IEC 27001 с учетом требований отраслевых стандартов.     

Благодаря своему высококвалифицированному персоналу UITSEC точно анализирует отраслевые потребности, поддерживает эффективность исследований по информационной безопасности на самом высоком уровне и обеспечивает максимальный вклад в развитие бизнеса. В исследованиях соответствия; Учитываются действующее законодательство, предложения по решениям и технологические разработки. Выявляются активы информационной безопасности, которые влияют на существующие процессы на предприятиях, и анализируются риски, влияющие на конфиденциальность, целостность и доступность процессов.   

Он стремится поддерживать уровень осведомленности на самом высоком уровне, проводя тренинги, которые включают примеры, подходящие для деятельности предприятия.

Экспертный персонал UITSEC поддерживает процедуры предприятия в актуальном состоянии, чтобы проводить сертификационные исследования ISO / IEC 27001 беспрепятственно и максимально быстро. В нем анализируется совместимость существующих исследований, которые предприятие продолжало проводить до исследования ISO / IEC 27001, со стандартом. Он направляет бизнес на выполнение несоответствующих работ и работает над необходимыми действиями.  

Преимущества стандарта ISO / IEC 27001 для бизнеса

  • Он обеспечивает конфиденциальность, целостность и доступность важной для бизнеса информации.
  • Поскольку это самый крупный стандарт в области информационной безопасности, принятый во всем мире, уровень информационной безопасности предприятий высок благодаря периодическим аудитам.
  • Это сводит к минимуму риски предприятий и максимизирует непрерывность бизнеса.
  • Он определяет ваши слабые стороны и определяет рабочие шаги, которые вам необходимо предпринять.
  • Это обеспечивает репутацию клиентов и наилучшим образом отвечает их требованиям.
  • Он поддерживает динамические и непрерывные бизнес-процессы в бизнесе.
  • Соответствие стандартам предприятия обеспечивается выполнением требований законодательства.
  • Благодаря установленной системе клиенты на шаг опережают своих конкурентов в своих оценках.

 Этапы обслуживания для проекта ISO / IEC 27001

UITSEC обеспечивает максимальную поддержку бизнеса на всех этапах, включая заявку на сертификацию, в рамках проекта ISO / IEC 27001.

Основные рабочие этапы ISO / IEC 27001;

  • Обеспечение лидерства и организации
  • Анализ объема
  • Анализ активов
  • Создание методологии управления рисками
  • Проведение анализа рисков
  • Принятие мер по обработке рисков
  • Проведение корректирующих действий
  • Проведение тренингов
  • Установление политики, процедур и сопроводительных документов
  • Определение технического анализа
  • Определение критериев мониторинга производительности и принятие мер
  • Обеспечение непрерывности бизнеса
  • Подготовка декларации о применимости с указанием обоснования
  • Проведение внутреннего аудита
  • Реализация отчетов
  • Выполнение процессов внешнего аудита
  • Выполнение процессов постаудиторской поддержки
  • Получение документа в аккредитованных учреждениях

 

Политики информационной безопасности должны быть подготовлены в соответствии с ISO / IEC 27001

Конкретные политики информационной безопасности могут быть подготовлены в соответствии с сектором или процессами, в которых работает учреждение. Неспецифические основные документы; 

  • Общие политики информационной безопасности
  • Политика допустимого использования
  • Политики паролей
  • Политики безопасности электронной почты
  • Политики использования Интернета
  • Очистить таблицу Политики очистки экрана
  • Политики физической безопасности
  • Политики контроля доступа
  • Политика непрерывности бизнеса
  • Политики управления изменениями и контроля
  • Политики «Чистый стол» и «Чистый экран»
  • Политики архивирования и резервного копирования данных
  • Удаление информации / СМИ / политика в отношении оборудования
  • Политики использования активов
  • Политики использования портативных / мобильных устройств
  • Политики в отношении вредоносного ПО
  • Политика безопасности персонала
  • Политика конфиденциальности
  • Политика в области разработки программного обеспечения и управления
  • Политики резервного копирования и восстановления данных
  • Политики безопасности сервера
  • Политики управления сетью
  • Политики удаленного подключения / управления VPN
  • Поставщики / 3. Административные политики сторонних пользователей 
  • Политики управления изменениями
  • Политики аутентификации и авторизации
  • Правила приема посетителей
  • Политика управления инцидентами с нарушениями

Процедуры и документы информационной безопасности

В рамках исследований соответствия подготавливаются некоторые процедуры и документы, которые могут понадобиться предприятиям.

Процедуры;

  • Порядок управления документами
  • Процедура корректирующих и корректирующих действий
  • Процедура проверки со стороны руководства
  • Процедура внутреннего аудита
  • Порядок работы с персоналом
  • Процедура обучения
  • Процедура управления активами
  • Процедура управления рисками
  • Процедуры обслуживания
  • Процедура обеспечения непрерывности бизнеса
  • Процедуры контроля доступа
  • Процедура управления сетевыми устройствами
  • Процедура резервного копирования данных
  • Процедура управления журналом
  • Процедура разработки программного обеспечения
  • Процедура физической безопасности
  • Процедура управления нарушениями инцидентов
  • Процедура управления изменениями
  • Процедура управления поставщиком и третьей стороной
  • Процедуры безопасности системы

Формы и другие документы;

  • Описание вакансии
  • Схема организации
  • Формы документов, переданные на аутсорсинг
  • Формы корректирующих и лечебных мероприятий
  • Формы целей и показателей
  • План и формы внутреннего аудита
  • Формы и документы отдела кадров
  • Списки инвентаризации активов
  • Документы классификации информации
  • Формы анализа рисков
  • Формы обслуживания и тестирования
  • Отчеты о тестировании на проникновение
  • Списки резервных копий и формы архивных записей
  • Формы мониторинга, измерения, анализа и оценки
  • Формы оценки поставщиков
  • Списки контроля доступа
  • Списки контактов
  • Заявление о применимости (SOA)
  • Формы нарушений при инцидентах

Планы обеспечения непрерывности бизнеса и анализ влияния на бизнес