Сертификация ISO 27001

Внедрение и сертификация ISO 27001 – это способ создать работающий инструмент защиты информации, базы данных предприятия. 

Компания, внедрившая систему менеджмента информационной безопасности (далее — СМИБ) по критериям стандарта ISO 27001, воспринимается партнерами как надежный и конкурентный участник рынка.

Справка! ISO/IEC 27001 – это международный документ. В России действует адаптированная версия ГОСТ Р ИСО/МЭК 27001. 

Основные положения стандарта ИСО 27001

Документ определяет требования и нормы к созданию, интеграции, поддержанию, постоянному совершенствованию СМИБ. Его положения описывают:

1. Область использования — применяется к фирмам любого размера, типа, сферы деятельности, которые стремятся управлять ИБ.
2. Ключевая терминология — понятия, используемые в стандарте: «актив», «угроза», «уязвимость», «риск информационной безопасности», другие.
3. Контекст организации (внутренний и внешний), определение заинтересованных сторон, их требования к ИБ.
4. Обязательства высшего руководства по обеспечению СМИБ, в т.ч. установление целей политики информационной безопасности, планирование мер по их достижению, распределение ролей, обязанностей.
5. Ресурсы, необходимые для функционирования СМИБ.
6. Операционное управление рисками с учетом потребностей предприятия, изменениями в части ИБ, порядок реагирования на инциденты.
7. Мониторинг, измерение, анализ и оценку результативности системы, включая внутренние аудиты.
8. Мероприятия по постоянному улучшению созданной модели через корректирующие действия, методы устранения несоответствий в процессах.

Хотя документ носит рекомендательный характер и применяется по инициативе руководства, представители бизнеса охотно интегрирует, а затем сертифицирует модель управления информационной безопасностью.

Преимущества внедрения ISO 27001

Разработка и применение СМИБ с учетом требований указанного документа чаще реализуется организациями, которые оказывают услуги в области IT, образования, медицины, науки, разработки ПО, защиты авторского права, интеллектуальной собственности, различных исследований, изысканий, пр. 

Наличие СМИБ, разработанной по стандарту ИСО 27001, позволяет структурировать управленческий подход и:

• защитить конфиденциальную информацию (коммерческую тайну, реквизиты клиентов, партнеров, финансовые, персональные данные) от несанкционированного доступа, утечек, краж;
• соблюдать законодательные требования в области информационной безопасности (далее – ИБ), так как для таких отраслей как банковская сфера, здравоохранение — это обязательное условие;
• идентифицировать, оценивать и управлять рисками, связанными с ИБ, минимизируя вероятность инцидентов, их потенциальные последствия;
• продемонстрировать клиентам, партнерам серьезное отношение компании к сохранности конфиденциальности, что помогает повысить уровень доверия, улучшить деловую репутацию.
• разработать, внедрить меры, обеспечивающие непрерывность бизнеса в случае кибератак, технических сбоев или природных катастроф;
• снизить затраты из-за потери данных, простоев системы, репутационные риски, юридические издержки.
• формировать культуру ИБ внутри компании путем обучения сотрудников;
• компаниям безопасно внедрять новые технологии, инновационные решения, сокращая риски, обеспечивая защиту данных.

Использование системы менеджмента ИБ, составленной по ГОСТ Р ИСО МЭК 27001, позволяет сократить вероятность утечки информации, улучшить защиту от потенциальных кибератак, предупредить несанкционированный доступ к персональным сведениям фирмы. 

Внимание! Интеграция в работу такой модели управления требуется для компаний, которые выпускают военную продукцию, сотрудничают с Министерством обороны. 

Чтобы доказать наличие и эффективность СМИБ, проводится сертификация ИСО 27001. 

В центре «Гортест Урал» помогут разработать, интегрировать в текущую деятельность фирмы работоспособную модель управления ИБ, а после этого ее сертифицировать и получить сертификат ISO 27001. Если требуется подробная консультация, свяжитесь с сотрудниками удобным способом.

Порядок внедрения с выездом эксперта на предприятие

Процедура с помощью специалистов центра «Гортест Урал» осуществляется в таком порядке:

1. Анализ текущего состояния фирмы на соответствие критериям стандарта ИСО 27001.
2. Создание отчета по итогам предварительного аудита.
3. Определение политики ИБ с учетом потребностей компании, описание схемы внедрения положений системы.
4. Оформление документации СМИБ (приказы, инструкции, пр.).
5. Обучение назначенных сотрудников принципам внедрения ISO 27001, выдача сертификатов «экспертов-аудиторов».
6. Экспертное сопровождение во время интеграции системы в работу фирмы.
7. Информирование работников о правилах реализации внутреннего аудита (раз в год). 
8. Сертификация рабочего состояния СМИБ (по заявлению руководства компании).

Выдача сертификата ИСО 27001 свидетельствует, что система управления информационной безопасностью отвечает нормам стандарта, помогает организациям сохранить конфиденциальность, целостность информации, снизить риски, укрепить деловую репутацию, расширить клиентскую базу, повысить инвестиционную привлекательность фирмы.

При сотрудничестве с центром «Гортест Урал» предприятию предоставляется консультационная поддержка по вопросам функционирования СМИБ на протяжении 3 лет, пока действует сертификат ISO IEC 27001.

Что нужно от заявителя?

Стандартный перечень документов, который запрашивают при проверке системы, содержит: 

• копии свидетельств фирмы (ОГРН, ИНН); 
• устав/ учредительный договор (копии); 
• коды деятельности; 
• лицензии, допуски, нотификации и т.п. (при необходимости); 
• документы СМИБ (положения, инструкции, приказы, сведения о персонале, информация об используемых средствах защиты информации с соответствующими сертификатами, пр.). 

Документ оформляется на типографском бланке той независимой системы, в рамках которой проводилась сертификация соответствия (например «EAC AUDIT»). 

Справка! Предприятие наряду со стандартом ИСО 27001 может внедрить и другие нормативы этой серии, например, 9001 (качество), 14001 (экоменеджмент), пр. Такая модель управления называется ИСМ (интегрированная система менеджмента).

Если предприятие занимается производством/импортом товаров, могут потребоваться обязательные сертификаты/декларации на продукцию, технические условия/официальные копии ГОСТов, по которым изготавливается товар, технологический регламент на производство, инструкции/маршрутные карты технологического процесса, отказные письма, добровольные сертификаты соответствия, пр.

Возникли вопросы? Свяжитесь с экспертами центра «Гортест Урал» и получите бесплатные консультации.