В разработке данного международного стандарта приняли участие Международная организация по стандартизации и Международная электротехническая комиссия. Стандарт подготовил к выпуску подкомитет SC27 (объединенный технический комитет JTC 1).
Стандарт ISO/IEC 27001 (ISO 27001) был создан в качестве модели для дальнейшей разработки, действия, мониторинга, анализа, поддержки и усовершенствования СМИБ.
Цель данной системы – выбрать соответствующие меры по управлению безопасностью, предназначенные для контроля и защиты информационного актива и гарантирующие доверие со стороны заинтересованных лиц.
Данный стандарт вобрал в себя опыт и выдержки из лучших мировых практик в сфере информационной безопасности и управления системой. ISO 27001 устанавливает требования к менеджменту для демонстрации способности организации защищать свой информационный ресурс. Основными принципами стандарта ISO 27001 являются: конфиденциальность информации; целостность информации; доступность информации.
Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества (ISO 9001:2000 и ISO 14001:2004), ведь он базируется на их основных положениях и принципах. Обязательные процедуры стандарта ISO 9001 заложены и в стандарте ISO 27001. Структуры документации по требованиям ISO 27001 и ISO 9001 аналогичны. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана прежде и могла использоваться в рамках ISO 9001. Таким образом, если у организации есть система менеджмента в соответствии, к примеру, с ISO 9001 или ISO 14001, то предпочтительнее применять стандарт ISO 27001 в рамках уже существующей системы.
Организация может пройти сертификацию, которую проведут аккредитованные агентства, согласно стандарту ISO 27001. Данный процесс включает три стадии. На первой происходит изучение аудитором ключевых документов менеджмента информационной безопасности. К таковым относится положение о применимости (SoA), план обработки рисков (RTP) и др. Сертификация организации может происходить как на ее территории, так и путём высылки нужных документов для внешнего аудита. Вторая стадия предполагает детальный и глубокий анализ, включающий тестирование внедренных мер. Осуществляется оценка их эффективности, тщательное изучение документов, обусловленных стандартом. Третья стадия представляет собой выполнение инспекционного аудит, в результате которого подтверждается соответствие сертифицированной организации заявленным требованиям.
В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013.
Более подробную информацию о стандарте ISO/IEC 27001, а также о прочих нормативных и технических документах, регламентах вы можете получить в Центре сертификации «Знак качества».