ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001:2013) СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Международный сертификат ISO 27001 доказывает, что предприятие обеспечивает сохранность информации и защиту конфиденциальных данных в процессе работы.
Внедрению и совершенствованию системы менеджмента информационной безопасности (далее - СМИБ) способствует рост технологий и автоматизация процессов управления. В России разработка, интеграция и сертификации СМИБ проводится в рамках отечественного аналога ИСО 27001, обеспечивающего сохранность баз данных и защиту от стороннего доступа в компаниях разного масштаба и вида экономической деятельности.
Центр «ЕАС Audit», обладающий пятнадцатилетним опытом в сертификации и аттестатом аккредитации в данной области, гарантирует проведение процедуры и официальное оформление документов по выгодной стоимости.
Сущность и преимущества сертификации ISO 27001
Действующий с 01.01.2022 года стандарт ИСО 27001 содержит усовершенствованные принципы и повышенные требования к системам менеджмента информационной безопасности по сравнению с ранее утвержденными аналогами. В основу сертификации заложено:
- формирование единой структуры управления базами данных, предусматривающей защиту информации как в стандартных условиях, так и в критических ситуациях;
- создание упорядоченного доступа к информационным ресурсам, сопровождающимся подготовкой персонала;
- распределение полномочий и ответственности между работниками и подразделениями за внесение сведений и составление отчетности;
- выявление и ликвидация рисков, связанных с несанкционированным доступом к охраняемой информации.
Налаженный внутренний контроль позволяет сократить расходы и повысить коэффициент доверия к организации со стороны персонала, контрагентов и инвесторов. Сертификация ISO 27001 – это возможность выхода компании на новый уровень благодаря росту конкурентоспособности и защите конфиденциальной информации от несанкционированного вмешательства.
Целесообразность оформления сертификата ИСО 27001
Соблюдение требований, заложенных в стандарт ISO/IEC 27001 (или в его российский аналог), позволяет выстроить эффективную СМИБ, организовать взаимодействие между структурными подразделениями компании и исключить утечку информации. Пройти сертификацию и оформить документ вправе каждый субъект хозяйствования, но приоритетным этот шаг считается для лиц, обрабатывающих информационные потоки и несущие риски, включая:
- финансовые и кредитные организации;
- страховые и логистические компании;
- аккредитованные лаборатории;
- предприятия сферы информационных технологий;
- организации, приобщенные к охраняемым государством сведениям.
Обязательная сертификация ISO 27001 не предусмотрена по закону, но получение добровольного сертификата позволяет участвовать во всех закупочных процедурах и выполнять гособоронзаказы. Сертификация ИСО 27001 обеспечит лидирующие позиции в тендерах, продвижение продукции на рынки сбыта и привлечение инвестиций для развития бизнеса.
В правовом сегменте сделать сертификат ISO 27001 означает официально подтвердить защищенность баз данных, гарантировать недопущение утечки информации.
Требования и разделы СМИБ
Цели и необходимые для внедрения средства зафиксированы в специальном приложении стандарта, содержащем совокупность мер безопасности. Предприятие для получения сертификата ISO 27001 должно обеспечить в соответствии с разделами СМИБ проведение мероприятий, предусматривающих:
- Внедрение политики и концепций информационной безопасности. Составляющими элементами служит обеспечение физической безопасности, ИБ в технологических процессах, предоставление персонального доступа к информационным ресурсам, включая Интернет и email.
- Разработку инструкций, типовых положений и руководств по ИБ. Необходимо издать распорядительные документы на делегирование полномочий и распределение зоны ответственности между работниками и структурными подразделениями, а также внедрить программы обучения персонала.
- Непрерывность контроля всех бизнес-процессов. Для упрощения проверок нужно вносить записи в журналы ОС, СУБД и ИС, систематизировать инструктаж сотрудников, оформить протоколы испытаний, зафиксировать обязательства о неразглашении конфиденциальной информации во внутренних локальных актах.
Для получения официального документа компания не вправе выбрать отдельный сегмент, а обязана обеспечить безопасные условия всех процессов одновременно без их дифференцирования. В отличие от ранее используемых версий по требованиям ГОСТ Р ИСО/МЭК 27001:2021 претендент для прохождения сертификации должен организовать комплексное функционирование СМИБ.
Алгоритм сертификации по ГОСТ Р ИСО/МЭК 27001
Чтобы оформить сертификат ISO 27001, необходимо пройти оценку соответствия в аккредитованном органе. Процесс предусматривает обращение к экспертам для проверки разработанной и внедренной СМИБ с проведением корректирующих мероприятий. Процедура сертификации состоит из трех этапов:
- Рассмотрение комплекта документации. Инициатор должен представить:
- заявление;
- регистрационные (свидетельства, ИНН), разрешительные (лицензии, допуски) и распорядительные документы (приказы о замещении штатных должностей по ИБ);
- описание видов деятельности с указанием кодов ОКВЭД;
- сведения об организационной структуре, используемом оборудовании и программных продуктах.
- Аудит и внедрение СМИБ. После анализа представленной документации эксперты проводят:
- оценку эффективности внедренной СМИБ;
- корректировку политики ИБ, разработку программ, методику оформления записей и составления должностных инструкций работников;
- унификацию отчетных форм согласно стандарту.
- Сертификационная проверка. Экспертная комиссия осуществляет выездной аудит для оценки:
- проведенных мероприятий в сфере ИБ;
- соответствия предприятия требованиям ГОСТ.
По итогам проверки компания получает документ с трехлетним сроком действия, в течение которого проводится периодический инспекционный контроль. Цена на сертификат ISO 27001 зависит от специфики бизнес-процессов предприятия, объема документооборота и выявленных рисков в системе безопасности. По каждому риску нужно провести анализ, определить вероятность возникновения, установить негативные последствия и разработать мероприятия по устранению. Предусмотренный дважды в год мониторинг после проведения сертификации ИСО 27001 поможет выявить «слабые звенья» и своевременно «укрепить» СМИБ.
Для получения консультации и профессиональной помощи в разработке и оценке системы менеджмента информационной безопасности обращайтесь в центр «ЕАС Audit».
При сертификации внедренная на предприятии СМК оценивается на соответствие требованиям, которые предъявляются к ней стандартом ГОСТ Р ИСО. Среди них:
- правильное определение рисков, для предотвращения которых внедрена СМК;
- наличие у предприятия всех ресурсов, необходимых для поддержания эффективного функционирования СМК;
- документирование процедур по нормам стандарта;
- постоянное совершенствование разработанной политики в области СМК;
- проведение действий для непрерывного улучшения работы системы.
Специалисты Центра в случае выявления несоответствий помогут скорректировать положения СМК для успешного прохождения сертификации.
Получение сертификата дает возможность:
- сформировать положительную репутацию в любой сфере деятельности и продемонстрировать клиентам заинтересованность в качестве и безопасности предоставляемых услуг;
- обеспечить соответствие деятельности компании требованиям законодательства;
- принять участие в тендерах, для участия в которых наличие сертификата – обязательное условие;
- минимизировать риски, связанные с информационными технологиями и безопасностью, сократить финансовые потери;
- обеспечить проведение непрерывного контроля качества и безопасности.
Для оформления документы необходимы:
- письменная заявка;
- скан ОГРН;
- скан ИНН;
- сведения о сфере деятельности компании – указывается список ОКВЭД;
- сведения о штате сотрудников и тех специалистах, которые будут ответственны за проведение внутреннего аудита;
- документы и записи, которые ведутся по уже внедренной СМК (при наличии);
- прочие документы и сведения.
Полный список вы можете получить по электронной почте – просто оставьте заявку онлайн.
Как и другие системы менеджмента качества, действующие на основании стандартов ИСО, СМК по ИСО 27001 универсальна. Это позволяет применять ее в комплексе с другими стандартами группы ИСО.
Возможно как одновременное внедрение СМК, так и поэтапное создание интегрированной СМК (ИСМ) на предприятии. Во втором случае возможно объединение уже действующей на предприятии СМК с ИСО 9001, системой экологического менеджмента и иными.
Внедрение ИСМ проводится одним из способов:
- внедряется базовая СМК, с которой потом присоединяют другие системы;
- сразу проводится разработка интегрированной СМК, состоящей из нескольких систем.
ГОСТ Р ИСО 27001 относится к универсальным стандартам. Его можно использовать в любой организации вне зависимости от сферы деятельности, выпускаемого ассортимента товаров или предоставляемых услуг.
Но есть отдельные сферы деятельности, связанные с информационными рисками. Если работа компании связана с ними, то внедрение требований стандарта рекомендовано. Среди таких компаний:
- финансовые и банковские учреждения;
- научно-исследовательские институты;
- исследовательские и испытательные лаборатории;
- организации, работающие в сфере страхования;
- службы доставки товара, документов и различных имущественных ценностей.
Комментарии
Оставьте Ваш комментарий