Системы менеджмента информационной безопасности
Цель услуги состоит в том, чтобы помочь организации разработать и внедрить результативную систему менеджмента информационной безопасности, т.е. такую, которая будет обеспечивать непрерывный мониторинг и снижение существенных рисков в сфере информационной безопасности, повышая тем самым устойчивость бизнеса.
Нет двух одинаковых организаций, а потому не может быть и двух одинаковых проектов по разработке и внедрению системы. Тем не менее, может быть единым подход к осуществлению таких проектов.
Этап I. Планирование проекта (Определение исходных данных и ресурсов)
Этап включает в себя следующие работы:
- Встреча-семинар с высшим руководством (4 часа).
Результат: определены и согласованы со стратегией организации цели СМИБ, определены потребности в ресурсах. Выбраны бизнес-процессы для включения в область действия системы менеджмента информационной безопасности. - Диагностика системы управления организации, определение степени ее соответствия выбранной модели. Оценочная продолжительность – 3-5 дней.
Результат: определена общая структура проекта. - Планирование проекта. Оценочная продолжительность – 3-5 дней.
Результат: разработан и утвержден план проекта. - Консультационный семинар для разработчиков СМИБ (24 часа).
Результат: разработчики готовы самостоятельно вести разработку системы: концепция методики оценки рисков определена, реализация требований стандарта ISO 27001 понятна. - Осуществление и управление проектом. Продолжительность – в соответствии с планом. Оценочно может быть в пределах 2-12 месяцев.
Результат: система менеджмента информационной безопасности разработана и документирована. - Экспертиза разработанной СМИБ. Продолжительность – в зависимости от сложности системы. Оценочно – 5-15 дней.
Результат: оценка соответствия разработанной системы менеджмента информационной безопасности требованиям ISO 27001. - Разработка плана внедрения СМИБ. Оценочная продолжительность – 3-5 дней.
Результат: план внедрения системы менеджмента информационной безопасности разработан и утвержден. - Консультационный семинар для внутренних аудиторов СМИБ. Продолжительность – 24 часа.
Результат: внутренние аудиторы отвечают требованиям организации и готовы самостоятельно проводить проверку системы. - Выполнение мероприятий плана внедрения СМИБ. Продолжительность – в соответствии с планом. Оценочно может быть в пределах 2-12 месяцев.
Результат: персонал готов к работе в условиях функционирования СМИБ. Инфраструктура, поддерживающая СМИБ, работоспособна. - Утверждение разработанной СМИБ. Оценочная продолжительность – 5-7 дней.
Результат: приказ о внедрении системы менеджмента информационной безопасности выпущен.
Общая трудоемкость консультирования по этапу в среднем – 80 часов.
Этап II. Реализация проекта (Разработка СМИБ)
Этап включает в себя следующие работы:
Общая трудоемкость консультирования по этапу в среднем – 20%-30% от общей трудоемкости.
Этап III. Завершение проекта (Внедрение СМИБ)
Этап включает в себя следующие работы:
Общая трудоемкость консультирования по этапу в среднем – 10%-20% от общей трудоемкости.
При условии реализации полного проекта (все 3 этапа) стоимость 1 часа работы консультанта – 1000 руб.
