В настоящее время практическая каждая компания обладает вычислительной техникой и программным обеспечением. Большинство секретов организации доверяет программно-аппаратным системам.
Безусловно, автоматизация офисной и производственной деятельности значительно облегчает и ускоряет труд работников, но в тоже время применение информационных систем делает уязвимой деятельность компании с точки зрения многих факторов. Среди этих, потенциально опасных, факторов можно отметить:
- Удаление ценной информации работниками.
- Хищение информационных активов конкурентами.
- Выход из строя серверов.
- Вирусные атаки.
Для целей обеспечения конфиденциальности, целостности и доступности информационных активов были разработаны модели систем менеджмента информационной безопасности. Наиболее популярной из них служит модель, описанная в стандарте ISO/IEC 27001 (ISO 27001).
В этом стандарте приведены лучшие мировые практики в области управления информационной безопасностью.
Практики изложены в виде целей и средств контроля, — применяемых в виде политик, процессов и процедур, которым должны следовать работники предприятий. Применение рекомендованых стандартом целей и средств контроля информационных активов основано на инвентаризации активов, оценки их важности для компании и анализа риска связанного с ними.
Сертификация системы менеджмента информационной безопасности проводится по стандарту ISO 27001:2005.
Сертификат ISO 27001 позволяет показать заинтересованным лицам что информационные активы компании защищены и риск с ним связанный находится под управлением.