Оптимизация системы обеспечения иб Построение системы управления иб

Согласно международному стандарту ISO/IEC 27001:2005, система управления информационной безопасностью8 (СУИБ) – это «часть общей системы управления организации, основанной на оценке бизнес-рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». СУИБ включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Целями создания системы управления информационной безопасности являются:

• построение эффективной системы обеспечения безопасности важнейшей корпоративной информации;

• обеспечение прозрачности процессов информационной безопасности;

• защита основных активов и критичных бизнес-процессов организации;

• минимизация рисков информационной безопасности при ведении операционной деятельности организации;

• обеспечение непрерывности основной деятельности организации;

• выполнение нормативно-правовых требований к обеспечению информационной безопасности;

• повышение общего уровня управляемости организации за счет создания и интеграции системы управления информационной безопасности;

• облегчение процедуры выхода на IPO вследствие упрощения прохождения 3-й стадии – «technical due diligence». Повышение стоимости акций и снижение затрат на их размещение за счет выполнения требований по управлению операционными рисками.

Помимо этого, наличие сертификата соответствия ISO/IEC 27001:2005 подтверждает качество СУИБ, что в свою очередь сказывается на повышении стоимости бренда, особенно если речь будет идти о слиянии или покупке компании. Потенциальный собственник предпочитает знать, какие инструменты используются для управления безопасностью, ценит прозрачность системы информационной безопасности.