Нет времени читать?
Задайте вопрос нашему специалисту БЕСПЛАТНО
Что такое ISO 27001
Стандарт ISO 27001 представляет собой признанный двумя международными организациями стандарт по информационной безопасности. Этот вид ISO IEC - мировой стандарт.
Если его пункты выполняются компанией, значит, она обеспечивает защиту информации и может гарантировать своим клиентам сохранение данных, безопасность и конфиденциальность информации.
Основные требования ISO 27001 находятся в области защиты информации для поддержания Системы менеджмента инфобезопасности (СМИБ).
Совет эксперта
Образец сертификата ИСО 27001
Сам сертификат представляет собой заверенный экспертами документ. Дизайн документа может отличаться, в зависимости от компании-аудитора.
Отечественный аналог мирового стандарта (с пометкой ГОСТ) представляет собой сертификат, где вся информация представлена на русском языке. Подписи на нем - отечественных экспертов.
Для чего и каким организациям нужна сертификация по ISO 27001
Получение любого международного сертификата ISO, в том числе и 27001, дело затратное по времени и по деньгам. Поэтому ключевой вопрос руководителя любой it-компании - целесообразно ли готовиться к нему в принципе.
Сертификация ISO 27001 необходима, если:
- организация работает на зарубежном рынке;
- компания собирается участвовать в крупных тендерах.
В настоящее время более целесообразным является получения отечественного аналога ГОСТ Р ИСО/МЭК 27001, который признается в России и странах СНГ. Для участия в российских тендерах и заключения договоров с русскоязычными партнерами достаточно и такого сертификата.
Период коронавирусных ограничений, во время которого большинство сотрудников it-компаний переехали в домашний офис, обнажил проблемы с безопасностью и обострил риски утечки данных. Поэтому сейчас крупные компании, выбирая между двумя подрядчиками, с 99% вероятностью обратятся в ту, которая имеет ISO сертификат в области защиты информации.
Что дает внедрение ISO 27001
Кроме очевидных плюсов ISO 27001 (улучшение имиджа, усиления преимуществ компании на рынке, доступность международных тендеров), можно вспомнить и другие преимущества для внутреннего развития.
Снижение рисков внутри компании, связанных с утечкой данных. Большинство it-организаций хранят информацию в облаке, и необходимо прописать в системе управления условия их защиты.
Уменьшение размера страховки и других операционных расходов, в том числе на проведения аудита деятельности. Ведь компания уже выбрала международный стандарт управлению безопасностью.
Интеграция с другими стандартами
Международный стандарт ISO 27001 сочетает в себе требования систем управления качеством ISO 9001:2015 и ISO 14001:2015.
Поэтому, если вам необходимо получить сертификат инфобезопасности, но уже есть ISO 9001, часть необходимой документации вы можете просто скопировать.
При этом получение признания защиты информации по ISO 27001 - это гарантия того, что станет проще получить сертификат 9001:2000, который подтверждает высокие стандарты менеджмента качества.
Позвоните нам!
Подробная консультация эксперта - БЕСПЛАТНО
Как получить ISO 27001: пошаговая инструкция
Получение ISO 27001 предполагает не только сбор необходимых документов, но и выезд независимых аудиторов, которые проверяют процессы информационной безопасности - соответствуют ли они международным стандартам. Причем анализируется деятельность разных отделов - от HR до отдела с “безопасниками”.
После аудита составляется отчет, в котором представлены результаты анализа работы.
Таким образом, сертификат выдается, когда у компании создана система правил защиты информации и выстроен менеджмент в соответствии с ними, а также пройдена выездная проверка.
Сами этапы получения сертификата ISO 27001 предполагают:
- Отправку онлайн-заявки;
- Подготовку необходимых документов после консультации эксперта;
- Аудит документации;
- Сертификационный аудит (с выездом на место);
- Выдачу сертификата.
Этап 1. Подача онлайн-заявки
Заполнение онлайн-заявки - это подача основной информации о компании. Необходимо предоставить данные о размере организации, в каких областях ей надо получить сертификацию.
Далее с компанией связывается специалист и дополнительно запрашивает документы, подтверждающие реальную работу компании.
Этап 2. Определение стоимости и заключение договора
После ответов на основные вопросы эксперт рассчитает, какой размер затрат для получения необходимого сертификата.
Если в компании согласны на условия и требования, то заключается договор.
Этап 3. Подготовка необходимых документов
Далее эксперт изучает основные данные и составляет список ключевых документов, на которых будет основываться система управления информационной безопасности. Например, среди них положение о применимости (SoA), план обработки рисков (RTP) и прочие.
Обязательно в документах должны быть отражены системные процессы управления инфобезопасностью:
- управление безопасностью на предприятии;
- управление рисками;
- корректировка рисков;
- непрерывность работы и противостояние внешним угрозам.
Пакет документов могут составлять как сами сотрудники it-компании, так и внешний эксперт - специалист по аудиту.
После проверки документов стандарты необходимо внедрить на месте. Однако если в компании уже налажены процессы защиты информации, то этот этап завершится только подготовкой документов и передачей их.
Этап 4. Аудит производства и аттестации сотрудников на соответствие стандартам СМК
Выездной аудит предполагает, что эксперты будут работать внутри организации, чтобы:
- проверять документы и их актуальность, соответствие стандарту ИСО;
- общаться со специалистами из разных отделов компании;
- контролировать качество работы в области защиты данных;
- анализировать организационные процессы.
В общем, аудиторы заглянут в каждый “уголок” вашей компании. Например, проверят, как налажен процесс приема на работу новых специалистов и их проверка, какие условия увольнения, как обучают новичков и проходит ли процесс повышения квалификации уже давно работающих сотрудников.
Эксперты обязательно проверят условия поддержки корпоративной сети, работу с “облаком” для хранения данных и их защиту.
Много уделяется такому методу сбора информации, как наблюдение. Приготовьтесь, что за сотрудниками будут следить: как они работают, не прячут ли они где-то флешки, не разбрасываются ли файлами с документами. Видно ли другим сотрудникам то, что выведено на монитор? Если часть сотрудников работает из дома, то эксперты будут проверять их особенности труда, анализируя служебные инструкции и беседуя с этими удаленными специалистами. То есть аудит - это системный анализ практик, использующихся в организации.
Этап 5. Получение сертификата
Клиенты, заинтересованные в получении сертификата, проходят все этапы и ждут документа, который бы подтвердил, что компания является образцом в области информационной безопасности.
Однако работа не заканчивается выдачей сертификата. Каждые три года необходимо будет подтверждать соответствие, право владения документом. Кроме того, могут проводиться и внеплановые независимые проверки, если происходят какие-либо инциденты в области информационной безопасности.
Стоимость сертификации и срок оформления в России ИСО 27001
Из-за того, что сертификация по международному стандарту предполагает выезд аудиторов из-за рубежа, то стоимость его получения велика: от 27 тысяч долларов. Сроки получения зависят от экономической, политической, коронавирусной ситуации в мире и России. Их прогнозировать сложно.
В настоящих условиях выгоднее российский вариант ИСО 27001. Стоимость его получения в компании СтройЮрист- от 17000 рублей. Однако цена также может меняться со временем в большую сторону из-за инфляционных процессов.
Как провести сертификацию компании
Для сертификации вашей организации в области информационной безопасности достаточно позвонить по номеру горячей линии компании СтройЮрист. Эксперт в области стандартизации и сертификации задаст уточняющие вопросы и объяснит все этапы получения документа.
Возможно, ваш случай будет отличаться от традиционного алгоритма, приведенного в статье выше.
Остались вопросы? Позвоните нам!
Подробная консультация эксперта - БЕСПЛАТНО
Рекомендуемые статьи
СтройЮрист - компания федерального уровня
