Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

  • Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;
  • Do (действие) — этап реализации и внедрения соответствующих мер;
  • Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;
  • Act (улучшения) — выполнение превентивных и корректирующих действий;

В России принят ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Этапы внедрения СМИБ править

  1. Определение должностных лиц, отвечающих за аспекты информационной безопасности
  2. Для эффективного функционирования СМИБ следует использовать непрерывный циклический процесс, который включает в себя следующие этапы:
  • разработка (планирование);
  • внедрение (реализация плана);
  • проверка (анализ эффективности и работоспособности внедренных мер);
  • совершенствование (устранение обнаруженных недостатков

См. также править

Ссылки править

Международная организация по стандартизации, ИСО

Бесплатный шаблон по внедрению СМИБ на платформе Trello

Оригинал ISO 27001 Британского института стандартов