08.09.2017

ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001:2013) СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Международный сертификат ISO 27001 доказывает, что предприятие обеспечивает сохранность информации и защиту конфиденциальных данных в процессе работы.

Внедрению и совершенствованию системы менеджмента информационной безопасности (далее - СМИБ) способствует рост технологий и автоматизация процессов управления. В России разработка, интеграция и сертификации СМИБ проводится в рамках отечественного аналога ИСО 27001, обеспечивающего сохранность баз данных и защиту от стороннего доступа в компаниях разного масштаба и вида экономической деятельности.

Центр «ЕАС Audit», обладающий пятнадцатилетним опытом в сертификации и аттестатом аккредитации в данной области, гарантирует проведение процедуры и официальное оформление документов по выгодной стоимости.

Сущность и преимущества сертификации ISO 27001

Действующий с 01.01.2022 года стандарт ИСО 27001 содержит усовершенствованные принципы и повышенные требования к системам менеджмента информационной безопасности по сравнению с ранее утвержденными аналогами.  В основу сертификации заложено:

  • формирование единой структуры управления базами данных, предусматривающей защиту информации как в стандартных условиях, так и в критических ситуациях;
  • создание упорядоченного доступа к информационным ресурсам, сопровождающимся подготовкой персонала;
  • распределение полномочий и ответственности между работниками и подразделениями за внесение сведений и составление отчетности;
  • выявление и ликвидация рисков, связанных с несанкционированным доступом к охраняемой информации.

Налаженный внутренний контроль позволяет сократить расходы и повысить коэффициент доверия к организации со стороны персонала, контрагентов и инвесторов. Сертификация ISO 27001 – это возможность выхода компании на новый уровень благодаря росту конкурентоспособности и защите конфиденциальной информации от несанкционированного вмешательства.

Целесообразность оформления сертификата ИСО 27001

Соблюдение требований, заложенных в стандарт ISO/IEC 27001 (или в его российский аналог), позволяет выстроить эффективную СМИБ, организовать взаимодействие между структурными подразделениями компании и исключить утечку информации. Пройти сертификацию и оформить документ вправе каждый субъект хозяйствования, но приоритетным этот шаг считается для лиц, обрабатывающих информационные потоки и несущие риски, включая:

  • финансовые и кредитные организации;
  • страховые и логистические компании;
  • аккредитованные лаборатории;
  • предприятия сферы информационных технологий;
  • организации, приобщенные к охраняемым государством сведениям.

Обязательная сертификация ISO 27001 не предусмотрена по закону, но получение добровольного сертификата позволяет участвовать во всех закупочных процедурах и выполнять гособоронзаказы. Сертификация ИСО 27001 обеспечит лидирующие позиции в тендерах, продвижение продукции на рынки сбыта и привлечение инвестиций для развития бизнеса.

В правовом сегменте сделать сертификат ISO 27001 означает официально подтвердить защищенность баз данных, гарантировать недопущение утечки информации.

Требования и разделы СМИБ

Цели и необходимые для внедрения средства зафиксированы в специальном приложении стандарта, содержащем совокупность мер безопасности. Предприятие для получения сертификата ISO 27001 должно обеспечить в соответствии с разделами СМИБ проведение мероприятий, предусматривающих:

  1. Внедрение политики и концепций информационной безопасности. Составляющими элементами служит обеспечение физической безопасности, ИБ в технологических процессах, предоставление персонального доступа к информационным ресурсам, включая Интернет и email.
  2. Разработку инструкций, типовых положений и руководств по ИБ. Необходимо издать распорядительные документы на делегирование полномочий и распределение зоны ответственности между работниками и структурными подразделениями, а также внедрить программы обучения персонала.
  3. Непрерывность контроля всех бизнес-процессов. Для упрощения проверок нужно вносить записи в журналы ОС, СУБД и ИС, систематизировать инструктаж сотрудников, оформить протоколы испытаний, зафиксировать обязательства о неразглашении конфиденциальной информации во внутренних локальных актах.

Для получения официального документа компания не вправе выбрать отдельный сегмент, а обязана обеспечить безопасные условия всех процессов одновременно без их дифференцирования. В отличие от ранее используемых версий по требованиям ГОСТ Р ИСО/МЭК 27001:2021 претендент для прохождения сертификации должен организовать комплексное функционирование СМИБ.

Алгоритм сертификации по ГОСТ Р ИСО/МЭК 27001

Чтобы оформить сертификат ISO 27001, необходимо пройти оценку соответствия в аккредитованном органе. Процесс предусматривает обращение к экспертам для проверки разработанной и внедренной СМИБ с проведением корректирующих мероприятий. Процедура сертификации состоит из трех этапов:

  1. Рассмотрение комплекта документации. Инициатор должен представить:
  • заявление;
  • регистрационные (свидетельства, ИНН), разрешительные (лицензии, допуски) и распорядительные документы (приказы о замещении штатных должностей по ИБ);
  • описание видов деятельности с указанием кодов ОКВЭД;
  • сведения об организационной структуре, используемом оборудовании и программных продуктах.
  1. Аудит и внедрение СМИБ. После анализа представленной документации эксперты проводят:
  • оценку эффективности внедренной СМИБ;
  • корректировку политики ИБ, разработку программ, методику оформления записей и составления должностных инструкций работников;
  • унификацию отчетных форм согласно стандарту.
  1. Сертификационная проверка. Экспертная комиссия осуществляет выездной аудит для оценки:
  • проведенных мероприятий в сфере ИБ;
  • соответствия предприятия требованиям ГОСТ.

По итогам проверки компания получает документ с трехлетним сроком действия, в течение которого проводится периодический инспекционный контроль. Цена на сертификат ISO 27001 зависит от специфики бизнес-процессов предприятия, объема документооборота и выявленных рисков в системе безопасности. По каждому риску нужно провести анализ, определить вероятность возникновения, установить негативные последствия и разработать мероприятия по устранению. Предусмотренный дважды в год мониторинг после проведения сертификации ИСО 27001 поможет выявить «слабые звенья» и своевременно «укрепить» СМИБ.

Для получения консультации и профессиональной помощи в разработке и оценке системы менеджмента информационной безопасности обращайтесь в центр «ЕАС Audit».

 

При сертификации внедренная на предприятии СМК оценивается на соответствие требованиям, которые предъявляются к ней стандартом ГОСТ Р ИСО. Среди них:

  • правильное определение рисков, для предотвращения которых внедрена СМК;
  • наличие у предприятия всех ресурсов, необходимых для поддержания эффективного функционирования СМК;
  • документирование процедур по нормам стандарта;
  • постоянное совершенствование разработанной политики в области СМК;
  • проведение действий для непрерывного улучшения работы системы.

Специалисты Центра в случае выявления несоответствий помогут скорректировать положения СМК для успешного прохождения сертификации.

Получение сертификата дает возможность:

  • сформировать положительную репутацию в любой сфере деятельности и продемонстрировать клиентам заинтересованность в качестве и безопасности предоставляемых услуг;
  • обеспечить соответствие деятельности компании требованиям законодательства;
  • принять участие в тендерах, для участия в которых наличие сертификата – обязательное условие;
  • минимизировать риски, связанные с информационными технологиями и безопасностью, сократить финансовые потери;
  • обеспечить проведение непрерывного контроля качества и безопасности.

Для оформления документы необходимы:

  • письменная заявка;
  • скан ОГРН;
  • скан ИНН;
  • сведения о сфере деятельности компании – указывается список ОКВЭД;
  • сведения о штате сотрудников и тех специалистах, которые будут ответственны за проведение внутреннего аудита;
  • документы и записи, которые ведутся по уже внедренной СМК (при наличии);
  • прочие документы и сведения.

Полный список вы можете получить по электронной почте – просто оставьте заявку онлайн.

Как и другие системы менеджмента качества, действующие на основании стандартов ИСО, СМК по ИСО 27001 универсальна. Это позволяет применять ее в комплексе с другими стандартами группы ИСО.

Возможно как одновременное внедрение СМК, так и поэтапное создание интегрированной СМК (ИСМ) на предприятии. Во втором случае возможно объединение уже действующей на предприятии СМК с ИСО 9001, системой экологического менеджмента и иными.

Внедрение ИСМ проводится одним из способов:

  • внедряется базовая СМК, с которой потом присоединяют другие системы;
  • сразу проводится разработка интегрированной СМК, состоящей из нескольких систем.

ГОСТ Р ИСО 27001 относится к универсальным стандартам. Его можно использовать в любой организации вне зависимости от сферы деятельности, выпускаемого ассортимента товаров или предоставляемых услуг.

Но есть отдельные сферы деятельности, связанные с информационными рисками. Если работа компании связана с ними, то внедрение требований стандарта рекомендовано. Среди таких компаний:

  • финансовые и банковские учреждения;
  • научно-исследовательские институты;
  • исследовательские и испытательные лаборатории;
  • организации, работающие в сфере страхования;
  • службы доставки товара, документов и различных имущественных ценностей.

С этой статьей также читают

Комментарии

  • Имя: Альбина 14.06.2022 в 10:52
    Узнать стоимость
    14.06.2022 в 11:01 Эксперт: Администратор
    Альбина, добрый день, все условия смогу указать в личной переписке, прошу направить тестовое письмо на наш адрес эл.почты: info@eacaudit.ru

Оставьте Ваш комментарий

алгоритм оформления

  • Заявка 1 Подать заявку
  • расчёт 2 рассчитать стоимость
  • договор 3 заключите договор
  • выполнение 4 1-2 дня на выполнение
  • согласование 5 проверка с клиентом
  • результат 6 получение документов
  • гарантии 7 укрепляем доверие
Кутлуева Елена Александровна
г. Екатеринбург
Написано 75 статей
Телефон: 88003020337