Внедрение СМИБ

Услуги

Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Требования к СМИБ регламентированы ISO/IEC 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования»

Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Сертификация ISO/IEC 27001 – это процедура, подтверждающая соответствие системы менеджмента информационной безопасности (СМИБ) требованиям международного стандарта ISO/IEC 27001, в результате которой выдается сертификат соответствия.

Сертификация СМИБ позволяет организациям демонстрировать клиентам и другим заинтересованным сторонам свою безопасность как делового партнера, что является критичным во многих областях бизнеса, в частности там, где ваша конкурентоспособность связана с умением защищать

НПП «СВК» оказывает услуги по разработке, внедрению и подготовке к проведению сертификационного аудита СМИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2013:

1. Проведение GAP-анализа соответствия требованиям стандарта ISO/IEC 27001:2013 с выработкой рекомендаций  и необходимых действий по достижению соответствия стандарту

1. Сбор первичных сведений об объекте и разработка плана обследования.
2. Проведение обследования на территории организации.
3. Анализ собранной информации, разработка отчетной документации по проекту.
4. Разработка Плана-графика внедрения СМИБ.
5. Определение и согласование состава документации СМИБ, необходимой для разработки или модификации.
6. Разработка первых проектов документов — Политика ИБ и Область деятельности СМИБ.

2. Проведение анализа рисков информационной безопасности

1. Услуги консультаций ответственным специалистам организации по подходу к анализу рисков ИБ, согласование методики анализа рисков ИБ.
2. Оказание поддержки организации в процессе согласования области, дат и подходов в проведении сертификационного аудита со стороны органа по сертификации (при необходимости).
3. Проведение анализа рисков ИБ.
4. Проведение инвентаризации активов и оценка рисков ИБ.

3. Разработка организационных процессов и документации с целью приведения СМИБ в соответствии с требованиями стандарта ISO/EEC 27001:2013

1. Согласование состава документации СМИБ с учетом результатов этапа 1 и этапа 2, определение уровня документации в соответствии с требованиями внутреннего документооборота Общества.
2. Разработка необходимого набора процессов ИБ.
3. Формирование перечня процессов.
4. Документирование процессов ИБ.

4. Внедрение процессов СМИБ

1. Оказание консультаций при утверждении документации СМИБ и введении в эксплуатацию процессов ИБ:
— внедрение процессов СМИБ;
— запуск всех процессов в работу;
— назначение ролей СМИБ;
— тестирование Планов обеспечения непрерывности;
— проведение внутренних аудитов ИБ;
— проведение анализа эффективности работы процессов;
— проведение анализа работы СМИБ со стороны высшего руководства.
2. Организация центра компетенции для обращения в процессе первичного запуска процессов ИБ.
3. Подготовка инструкций (в случае необходимости) по эксплуатации процессов ИБ для пользователей и ответственных сотрудников

5. Консалтинговые услуги при подготовке и прохождении сертификационного аудита СМИБ на соответствии требованиям ISO/IEC 27001:2013

1. Проведение предварительного аудита перед выходом организации на сертификацию.
2. Формирование заключения по результатам аудита с рекомендациями по достижению соответствия ISO/IEC 27001:2013.
3. Сопровождение сертификационного аудита (присутствие специалиста нашей организации в ходе проведения
сертификационного аудита).
4. Консультационные услуги для персонала Общества по процессам управления — и обеспечения СМИБ.
5. Оказание консалтинговой поддержки при разработке Плана устранений несоответствий по результатам сертификации.

Меню