Система управления информационной безопасностью (СУИБ) создается в организации, когда ценность и безопасность активов становятся значимыми для деятельности организации.
Система управления информационной безопасностью - это взвешенный комплекс организационных, технических, контролирующих мер защиты информации, необходимый и достаточный для обеспечения приемлемого для организации уровня информационной безопасности основных защищаемых информационных активов и бизнес-процессов.
Для построения системы управления информационной безопасностью мы используем комлекс подходов:
1) подход, основанный на существующих международных стандартах в сфере информационной безопасности (ISO 27001);
2) подход, основанный на соответствии требованиям законодательства РФ в сфере информационной безопасности;
3) подход, основанный на оценке рисков информационной безопасности и управлении ими (ISO 27005).
Для каждого подхода определяется комплекс мероприятий, выполнение которых гарантирует безопасность информационных ресурсов, ради защиты которых создается СУИБ, порядок выполнения этих мероприятий, способы контроля их выполнения и совершенствования.