До существования ISO 27001 был другой перечень требований к информационной безопасности, документ ВС 7799, его утвердили в 1995 году. В 1999 Британский Институт стандартов передал 7799 в Международную Организацию по стандартизации, а в 2000 году ИСО утверждает 27001 и продолжает заниматься упрощением, доработкой соответствующей документации.
В полном названии стандарта через косую линию имеется ещё одна аббревиатура – ИЕК. ISO/IEC 27001. ИСО – это Международная Организация по стандартизации всех сфер производства и услуг. Один нюанс – сюда не входит разработка стандартов для электроники и электротехники. Этим занимается уже МЭК (IEC). Международная электротехническая комиссия.
Разные компетенции, а номер документа один. Дело в том, что некоторые единицы электротехнического оборудования также несут в себе функцию носителей информации. Компьютеры, накопители, «облачные» хранилища. Электронная информация тоже может быть ценной, секретной и нуждаться в обеспечении безопасности. В стандарте прописаны три основных принципа:
- конфиденциальность;
- доступность;
- целостность.
Отсюда и получается, что и электронная, и информация на бумажных носителях может равно подвергаться определённым рискам. Поэтому стандартизация по 27001 входит в компетенции обеих этих организаций.
Кому нужен сертификат и процедура сертификации
Главное преимущество прохождения сертификации по 27001 ИСО/ИЕК состоит в отсутствии необходимости получения двух сертификатов (ISO и IEC).
Пройти сертификацию 27001 следует тем предприятиям, которые работают с архивами, обрабатывают персональные данные клиентов, имеют дело с ценной информацией или вовсе предоставляют услуги её хранения, защиты (пример – платные «облачные» хранилища).
Компании, получившие права на выдачу сертификата по IT-безопасности (и не только), проводят специальную проверку. Заявитель (предприятие) желает получить документ, а исполнитель ищет соответствия и несоответствия. Изучает, выносит решение об отказе или даёт «добро». Иными словами, компании по выдаче сертификатов просто сравнивают требования, отражённые в 27001 и состояние информационной безопасности на предприятии. Это называется аудит, он состоит из двух ступеней:
- проверка готовности к процедуре;
- изучение, вынесение решения о прохождении сертификации;
- выдача сертификата и дальнейший контроль состояния ИБ.