Оптимизация системы обеспечения иб Построение системы управления иб
Согласно международному стандарту ISO/IEC 27001:2005, система управления информационной безопасностью8 (СУИБ) – это «часть общей системы управления организации, основанной на оценке бизнес-рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». СУИБ включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
Целями создания системы управления информационной безопасности являются:
-
построение эффективной системы обеспечения безопасности важнейшей корпоративной информации;
-
обеспечение прозрачности процессов информационной безопасности;
-
защита основных активов и критичных бизнес-процессов организации;
-
минимизация рисков информационной безопасности при ведении операционной деятельности организации;
-
обеспечение непрерывности основной деятельности организации;
-
выполнение нормативно-правовых требований к обеспечению информационной безопасности;
-
повышение общего уровня управляемости организации за счет создания и интеграции системы управления информационной безопасности;
-
облегчение процедуры выхода на IPO вследствие упрощения прохождения 3-й стадии – «technical due diligence». Повышение стоимости акций и снижение затрат на их размещение за счет выполнения требований по управлению операционными рисками.
Помимо этого, наличие сертификата соответствия ISO/IEC 27001:2005 подтверждает качество СУИБ, что в свою очередь сказывается на повышении стоимости бренда, особенно если речь будет идти о слиянии или покупке компании. Потенциальный собственник предпочитает знать, какие инструменты используются для управления безопасностью, ценит прозрачность системы информационной безопасности.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!