1. Определение области действия СУИБ
2. Предварительный аудит на соответствие требованиям ISO 27001:
- сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;
- анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
- оценка текущего уровня соответствия требованиям стандарта ISO 27001;
3. Проведение оценки рисков:
- разработка методики оценки рисков;
- инвентаризация и классификация активов;
- формирование карты угроз;
- анализ и оценка рисков;
- разработка плана обработки рисков;
4. Разработка процедур и документации СУИБ:
- разработка процессов управления информационной безопасностью;
- разработка процессов обеспечения информационной безопасности;
- разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
- разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;
5. Внедрение процедур и документации СУИБ:
- внедрение процессов управления информационной безопасностью;
- внедрение процессов обеспечения информационной безопасности;
- обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности;
6. Опытная эксплуатация СУИБ
7. Сертификационный аудит и выдача международного сертификата:
- взаимодействие с органом сертификации;
- консультационная поддержка при прохождении сертификационного аудита.
Результатом работ является СУИБ компании, соответствующая требованиям стандарта ISO 27001.