Международный стандарт менеджмента информационной безопасности ISO/IEC 27001 разработан на базе британского BS 7799, который предназначен для управления информационной безопасностью организации, вне зависимости от ее сферы деятельности.
Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью (СУИБ).
Положения стандарта описывают такие аспекты, как:
- Политика безопасности;
- Организационные методы обеспечения информационной безопасности;
- Управление ресурсами;
- Пользователи информационной системы;
- Физическая безопасность;
- Управление коммуникациями и процессами;
- Контроль доступа;
- Приобретение, разработка и сопровождение информационных систем;
- Управление инцидентами информационной безопасности;
- Управление непрерывностью ведения бизнеса;
- Соответствие требованиям.
Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании.