Вход
Пропустить ссылки переходов
О компании
IT-решения
Бизнес решения
Учебный центр
Продукты
Консалтинг
Типовые решения
Skip Navigation LinksIT-решения компании TechExpert > Консалтинг > Информационная безопасность > Аудит на соответствие ISO 27001
Пропустить ссылки переходов
Аудит информационной системыExpand Аудит информационной системы
Бизнес-аналитика
Внедрение CRM
Внедрение ITILExpand Внедрение ITIL
Внедрение портальных решенийExpand Внедрение портальных решений
Информационная безопасностьExpand Информационная безопасность
Оптимизация инфраструктурыExpand Оптимизация инфраструктуры
Построение корпоративной системы управления проектамиExpand Построение корпоративной системы управления проектами
Разработка ИТ-стратегииExpand Разработка ИТ-стратегии
Услуги xDPSExpand Услуги xDPS
IT-решения компании TechExpert > Консалтинг > Информационная безопасность > Аудит на соответствие ISO 27001

Аудит информационной безопасности предприятия на соответствие ISO 27001

Сегодня все больше организаций уделяют внимание внедрению систем менеджмента информационной безопасности (СМИБ), соответствующих требованиям международных стандартов.

Когда говорят о СМИБ, в первую очередь имеют в виду стандарты:

• ISO/IEC 27001:2005 Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью – Требования;
• ISO/IEC 17779:2005 Информационные технологии - Методы обеспечения безопасности - Практические правила управления информационной безопасностью.

Данные Стандарты могут быть применены в любой организации, вне зависимости от её размеров и сферы деятельности. Они позволяет компаниям наилучшим образом защищать свои информационные активы и гарантировать высокую степень доверия заинтересованных сторон, включая потребителей.

В настоящее время ISO/IEC 27001 является единственным международно-признанным стандартом, по которому можно проводить сертификацию СМИБ организаций.

В соответствии с потребностями Заказчика компания TechExpert может предложить следующие виды услуг по аудиту ИБ предприятия, на соответствие ISO/IEC 27001:2005:

Исследование текущего состояния ИБ на предприятии с одновременным проведением работ по документирования СМИБ
Независимая оценка эффективности внедрения СМИБ на предприятии
Подготовка предприятия к сертификационному аудиту

Проведение аудита системы управления ИБ организации позволяет представить руководству отчет по оценке и управлению рисками ИБ, обосновать перечень, этапы и затраты на реализацию комплекса защитных мероприятий, проверить эффективность СМИБ и, при необходимости, пересмотреть акценты в обеспечении информационной безопасности.

Аудит СМИБ является одним из этапов при сертификации СМИБ. А сертификация на соответствие стандарту ISO/IEC 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью.

Аудит ИБ предприятия и документирование СМИБ в соответствии с требованиями ISO 27001

Основные этапы работ

Подготовительный этап
• Определение границ проведения аудита.
• Предоставление исходных данных об области деятельности (ОД) СМИБ Заказчика.
• Изучение Исполнителем исходных данных.
• При необходимости документальное описание ОД СМИБ в соответствии с требованиями Стандарта.

1.   Анализ рисков
• Определение основных бизнес процессов предприятия и их взаимодействие.
• Инвентаризация ресурсов (определение существенных активов).
• Разработка и согласование с Заказчиком Методики оценки рисков (передается Заказчику).
• Проведение работ по оценке рисков с предоставлением Отчета.
• Определение приемлемых уровней риска и подготовка для руководителя проекта документа для принятия (утверждения) остаточных рисков.

2.  Разработка Плана обработки рисков
• Исследование и анализ мер защиты, которые уже были определены и реализованы на предприятии (анализируются как применяемые организационные мероприятия в области планирования, внедрения, аудита и модернизации мер по обеспечению ИБ, так и используемые программно-технические средства и механизмы защиты информации).
• Разработка Перечня дополнительных мероприятий по снижению уровней рисков (цели и механизмы контроля из «Приложения А» Стандарта, направленные на снижение рисков).
• Документальное оформление общего Плана обработки рисков.

3.  Анализ документации предприятия в области СМИБ
• Анализ разработанных на предприятии политик, стандартов, процедур и т.д.
• Выработка рекомендаций по разработке организационно-нормативной базы, необходимой для функционирования СМИБ (Перечня документов, явно указанных в Стандарте, а также тех, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации).

Таким образом, в результате проведенного аудита Заказчик получает:
• Описание Области деятельности СМИБ (ОД).
• Методику определения существенных активов.
• Список (опись, реестр) существенных активов предприятия и их ценность (критичность).
• Методику оценки рисков.
• Отчет по оценке рисков.
• Критерии для принятия рисков.
• Заявление о принятии (одобрении) остаточных рисков.
• лан обработки рисков.
• список политик, руководств, процедур, инструкций, необходимых для функционирования СМИБ предприятия. Рекомендации по их разработке.
Сроки – зависят от области деятельности СМИБ и/или границ проведения аудита (от 1 до 3 месяцев).

После проведенного аудита Исполнитель, по желанию Заказчика, может провести работы по дальнейшему документированию СМИБ предприятия (см. раздел - Документирование СМИБ).

Оценка эффективности внедрения СМИБ на предприятии в соответствии с ISO 27001

Основные этапы работ

1.  Подготовительный этап
• Определение границ аудита.
• Вручение Заказчику официальных запросов на предоставление данных о СМИБ предприятия, внутренней нормативной базы СМИБ.
• Разработка и согласование с Заказчиком программы аудита.

2.   Аудит документации
• Изучение ОД.
• Изучение методов оценки рисков и обращения с рисками.
• Изучение обоснований для выбора контролей.
• Изучение политик, процедур, стандартов, руководств, инструкций и т.п.
• Промежуточный отчет по 1 этапу.

3.   Аудит внедрения
• Проверка выполнения предприятием своих политик, процедур, руководств и т.п.
• Проведение работ по выявлению и анализу несоответствий существующих на предприятии мер защиты требованиям Стандарта (анализируются как применяемые организационные мероприятия в области планирования, внедрения, аудита и модернизации мер по обеспечению ИБ, так и используемые программно-технические средства и механизмы защиты информации).

4.  Разработка и предоставление итогового отчета
• Перечень несоответствий требованиям Стандарта (ISO 27001).
• Оценка насколько эффективно документация и выбранные механизмы контроля удовлетворяют конкретным задачам.
• Выработка рекомендаций (План работ) по совершенствованию СМИБ.

После проведенного аудита, Заказчик может привлечь специалистов TechExpert для оказания консультативных услуг по внедрению и документированию СМИБ.

Проект по подготовке компаний к сертификации по ISO 27001

Содержание работ по данному проекту в основном те же, что и при оценке эффективности внедрения СМИБ. Отличительной чертой является то, что работы по проекту компания TechExpert проводит совместно со специалистами консалтинговых компаний (РФ), являющихся официальными партнерами международных органов по сертификации (BSI).

Выполнение данного проекта – залог успеха при прохождении сертификационного аудита.

       

 Запрос менеджеру
Пожалуйста, заполните эту форму.
Поля, отмеченные звёздочками*, обязательны для заполнения.
Произошла ошибка, попробуйте обновить страницу или отправте запрос позднее.
Контактная информация
Название организации*:
Фамилия*:
Имя*:
Отчество*:
Код города и телефон*:
Электронная почта*:
Ваш запрос:

 Мероприятия      

 Последние новости