Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

• Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;
• Do (действие) — этап реализации и внедрения соответствующих мер;
• Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;
• Act (улучшения) — выполнение превентивных и корректирующих действий;

В России принят ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Этапы внедрения СМИБ

1. Определение должностных лиц, отвечающих за аспекты информационной безопасности
2. Для эффективного функционирования СМИБ следует использовать непрерывный циклический процесс, который включает в себя следующие этапы:

• разработка (планирование);
• внедрение (реализация плана);
• проверка (анализ эффективности и работоспособности внедренных мер);
• совершенствование (устранение обнаруженных недостатков

См. также

• Серия ISO 27000
• Cobit
• ISO/IEC 27001

Ссылки