Что такое ISO/IEC 27001 10.11.2025 06:47ISO/IEC 27001 — один из самых востребованных стандартов в мире ИБ. Он помогает компаниям навести порядок в управлении информационной безопасностью, перейти от разрозненных решений к системному подходу, получить международное признание, говорить с заказчиками и регуляторами на одном языке.
Что такое ISO/IEC 27001
Стандарт ISO/IEC 27001 описывает, как правильно выстроить систему управления информационной безопасностью (СУИБ). Главное здесь — комплексный подход: политика, риски, ответственность, процессы.
ISO 27001 — основа зрелой ИБ, которую можно масштабировать, оценивать, регулярно улучшать.
Назначение и область действия стандарта
ISO/IEC 27001 применим к любой организации, независимо от размера, отрасли или уровня зрелости ИБ. Фокусируется не на конкретных угрозах или технологиях, а на управлении рисками.
Цель — помочь организации выявить уязвимые места, сформулировать управленческие и технические меры защиты, наладить регулярный контроль и совершенствование ИБ. Стандарт задаёт рамки для построения работающей системы, охватывает следующие задачи:
- формирование политики и целей в сфере ИБ
- анализ рисков, их минимизацию
- назначение ответственных
- контроль изменений и инцидентов
- аудит и пересмотр системы безопасности
Сфера применения может быть узкой, например, только отдел ИТ, или охватывать всю компанию — организация определяет границы СУИБ самостоятельно.
Многие думают, что ISO 27001 — это список мер защиты. На самом деле он гораздо шире: стандарт описывает, как управлять всей системой безопасности. Здесь важны технологии, люди, процессы, документы, непрерывность.
Разберем, как устроена система по ISO 27001, что она включает.
Система менеджмента информационной безопасности (СМИБ)
СМИБ — это подход к управлению, с помощью которого организация осознанно управляет информационными рисками, исходя из своих целей, контекста, ресурсов.
В основе лежит принцип PDCA (Plan–Do–Check–Act):
- на этапе Plan определяются цели, риски, политика, структура
- на Do — внедряются меры и процессы
- Check — регулярная оценка, аудит, измерение эффективности
- Act — корректировка, улучшение, пересмотр стратегии
СМИБ помогает уйти от точечных решений, внедрять систему, в которой безопасность встроена в работу бизнеса.
Основные главы и процессы по Annex SL
ISO 27001 следует общей структуре Annex SL, принятой для всех современных стандартов ISO. Это удобно: если в компании уже внедрён, например, ISO 9001 или ISO 22301, то многие процессы можно использовать совместно.
Ключевые главы:
- Контекст организации — определяются заинтересованные стороны, требования, границы СУИБ.
- Лидерство — участие высшего руководства: политика, роли, ответственность.
- Планирование — цели, оценка рисков, возможностей, план мероприятий.
- Поддержка — ресурсы, компетенции, информирование, документация.
- Операционная деятельность — внедрение, управление мерами безопасности.
- Оценка эффективности — внутренние аудиты, анализ со стороны руководства, метрики.
- Улучшение — реакция на несоответствия, корректирующие действия, постоянное развитие.
Каждая глава дополняет другую. Вместе они формируют единый цикл управления, который можно масштабировать или адаптировать под бизнес.
