• Українська
  • Русский

Международный стандарт ISO 27001 позволит вам обеспечить конфиденциальность и наглядно продемонстрировать клиентам и деловым партнерам способность контролировать риски, связанные с информационной безопасностью.

Сертификат ISO 27001 – это документ, подтверждающий соответствие системы требованиям стандарта. Получив такой сертификат, вы докажете, что ваша компания надежно защищает данные от попытки несанкционированного доступа.

Необходим для банков, финансовых организаций, инвестиционных и страховых компаний и любых других компаний, желающих защитить информационный ресурс. От этого зависит репутация определенной структуры и ее надежность, ведь защита информации – один из ключевых приоритетов.

Главная задача компании – установить возможные угрозы для появления утечки информации, выбрать методы, которые обеспечат защиту данных и полный контроль  за информационными ресурсами, доступными деловым партнерам или обществу.

Для того, чтобы пройти сертификацию и получить сертификат ISO 27001, необходимо пройти 2 независимых процесса:

— внедрение системы

— сертификация системы

Внедрение системы — это документирование существующих процессов: бизнес-процессы и процессы внутреннего обеспечения, например, управление персоналом.

Внедрение  обычно проходит в 4-5 этапов:

1) Диагностический аудит

Ознакомление с компанией и определение фактического объема работ, ответственных лиц и т.п.).

Результат — составляется отчет и формируется ТЗ (техническое задание) на проект.

2) Проведение обучения по стандарту

Разъяснение руководству и персоналу что именно требует стандарт ISO 27001, как это реализовывать, примеры того, что уже сделано интуитивно и т.п.)

Результат — базовое понимание стандарта.

3) Разработка и внедрение документации.

Требуется провести документирование тех процессов, которые имеют существенное или ощутимое влияние на способность компании обеспечивать безопасность информации, которая ей принадлежит.

Оформляются такие процедуры как:

Внедрение прививает персоналу навыки делать так как написано.

Иными словами, ключевой принцип этого этапа можно описать одной фразой — «напиши как  нужно делать делать и делай так как написал».

4) Внутренний аудит

Этап, который имеет 2 назначения:

  • это требование стандарта, которое нужно выполнять не менее 1 раза в год: первый делается перед сертификацией;
  • это проверка системы в процессе (или после) ее внедрения: проверяется, как соблюдаются процедуры, разработанные и внедренные ранее.

5) Если возникают ошибки (по терминологии это «несоответствия«), то оформляется протокол и не просто ожидается устранение не только факта ошибки, но проводится  анализ системной причины ее возникновения.

После этого, система считается внедренной. Временной период — от 3-х до 12-ти месяцев — в среднем 6 – 9 месяцев для этого стандарта.

После внедрения проводится сертификация по системе ISO 27001. Сертификационный период (срок действия сертификата) составляет 3 года.

При этом, предусматривается 3 аудита со стороны органа сертификации:

1). Сертификационный (полный аудит)

Его цель — подтвердить, что система внедрена и оформить на нее сертификат.

2) Надзорный аудит №1 (технический надзор)

Его цель подтвердить, что за истекшие 11 месяцев система продолжала «работать», а не стала «бумажным трофеем», запылившимся на полке. Первый надзор происходит в периоде 10-11 месяцев с момента получения сертификата.

3) Надзорный аудит №2. То же самое, что и первый надзор. Проводится через 11-12 месяцев после первого надзора.

По окончанию действия сертификата ISO 27001, т.е. через 3 года с момента его получения, при желании клиента, проводится ресертификация. Это повторная выдача сертификата по аналогичной процедуре, что и первичная сертификация – сертификационный аудит + 2 надзора. 

Всего выделяют 2 вида систем сертификации — украинская и международная.

Технически — стандарт единый и требования одинаковые.  Однако весомость украинских сертификатов по стандарту ДСТУ ISO 27001 отличается от тех, которые выдал международный орган сертификации по стандарту ISO 27001 (без приставки ДСТУ).

Это обусловлено тем, что европейским (международным) компаниям оказывают большее доверие, в виду полного отсутствия или крайнего минимализма «коротких путей» и «призрачных» сертификатов на несуществующие системы, чем, к сожалению, грешат украинские органы.

Ожидаемый результат после успешного внедрения стандарта ISO 27001 — повышение уровня безопасности в рамках всей компании, а также возрастание доверия на рынке, благодаря надежности мер касаемо защиты информации.

Остались вопросы? Задайте их специалисту Сертификанта и получите исчерпывающую и понятную консультацию….

ТОВ "СЕРТИФІКАНТ" ЄДРПОУ 40777155 © 2015-2020 CERTIFICANT.org
https://web-art.club/