Сертификат соответствия ИСО/МЭК 27001-2006
ISO 27001 представляет собой ведущий мировой стандарт для реализации целостной системы управления информационной безопасностью (ИБ). ISO IEC 27001 позволяет идентифицировать, оценивать риски, управлять ими, чтобы обрабатывать данные. Безопасность персональных данных – это значимая стратегическая составляющая.
Кому нужна сертификация по ИСО 27001 в информационной безопасности
Стандарт ISO 27001 используется в разных странах. Он обеспечивает фирмам любого размера, независимо от сферы деятельности, возможность планировать, реализовывать, мониторить ИБ. Нормы действуют как для коммерческих, так и для бюджетных организаций.
К примеру, в Германии фирмы, которые работают в области критичной инфраструктуры и превышают пороговый показатель, должны подготовить доказательства обеспечения по ISO информационной безопасности. К области критичной инфраструктуры причисляют следующие сферы:
- энергетическая;
- водоснабжающая;
- здравоохранение;
- финансовая и страховая;
- продовольственная;
- транспортная;
- IT;
- телекоммуникационная.
Доказательство внедрения стандартов ИСО 27001 можно предоставить, проведя аудит безопасности, тесты, сертификацию.
Преимущества внедрения норм ГОСТ ИСО 27001
Внедрение стандартов ИСО 27001 2013 г. – стратегически важное решение для фирмы. Исполнение четких норм стандарта должно обеспечивать отражение конкретной ситуации в организации.
Внедрив нормы ГОСТ Р ИСО МЭК 27001 2013 г., можно:
- повысить уровень безопасности;
- снизить имеющиеся риски;
- соблюсти требования соответствия;
- повысить осведомленность работников;
- повысить удовлетворенность клиентов.
Внутренние проверки и анализ, проводимый руководящим составом, позволяют достигнуть поставленной цели. К иным преимуществам внедрения норм стандарта можно отнести то, что контролирующие госорганы, страховщики, банковские организации, партнерские фирмы начинают больше доверять предприятию.
Как выполняют сертификацию по ГОСТ ИСО МЭК 27001
Порядок сертификации по ГОСТ 27001 следующий:
- Первоначально обсуждают и определяют цели. После того, как внедрены все нормы стандарта, выполняют сертификацию системы менеджмента. Сертификация – многоступенчатая процедура. Если в фирме уже есть система менеджмента, которую сертифицировали, процедура сокращается. На 1-й стадии обсуждаются фирма, цели сертификации. Разрабатывается подробное предложение, которое учитывает индивидуальные потребности конкретного предприятия.
- Подготавливают проектную документацию и выполняют предварительный аудит (если необходимо). Совещание по планированию проекта стоит проводить для крупных организаций. Оно обеспечивает лучшее координирование графиков, выполнение аудита с несколькими филиалами. Предварительный аудит обеспечивает определение сильных сторон и потенциала, позволяющего улучшить систему управления.
- Выполняют сертификационный аудит. Процедура начинается с системной аналитики, оценивания системы менеджмента ИБ. Аудитор устанавливает, насколько развита система управления, можно ли ее сертифицировать по ГОСТ Р27001. На следующей стадии аудитор дает оценку того, насколько эффективны процессы менеджмента в организации. Результаты аудитора представляются на финальном совещании. Если необходимо, выполняется согласование плана действий.
- Осуществляют оценивание системы. После сертификационного аудита дается оценка результатов независимым советом по сертификации. Если все нормы ГОСТ Р ИСО 27001 соблюдены, выдается сертифицирующий документ.
- Проводят контрольные аудиты. После того, как фирма успешно сертифицирована, основные элементы системы менеджмента ИБ проходят повторную проверку минимум раз в 12 мес. Это позволяет постоянно совершенствовать систему менеджмента.
- Выполняют ресертификацию. Сертифицирующий документ действует не больше 36 мес. Ресертификацию выполняют заранее, до того, как истечет период действительности сертифицирующего документа. Это позволяет компании постоянно соответствовать нормам стандарта. После того, как соответствие подтверждено, предоставляется новый сертифицирующий документ.
От чего зависит цена сертификации
Цена сертификации зависит от таких факторов:
- Сложность системы управления ИБ. Учитываются критичные ценности организации: патенты, личная информация, объекты, процессы. Цена оформления сертификата основывается на нормах ИБ, уровне влияния на конфиденциальность, доступность, целостность сведений.
- Основная деятельность фирмы в рамках системы менеджмента ИБ. Риски, которые касаются бизнес-процессов, влияют на установление нужных усилий по аудиту. Принимаются во внимание правовые нормы, сложные, индивидуальные требования заказчиков.
- Ключевые технологии и элементы, применяемые в системе менеджмента ИБ. При аудите изучают методики, определенные элементы системы управления ИБ. К таковым причисляются IT-платформы, серверы, информационные базы, приложения, сетевые сегменты. Чем больше доля базовых систем и чем меньше сложность IT, тем меньше усилий нужно затратить.
- Доля внутренних разработок для системы управления ИБ. Если внутренних разработок нет и, по большей части, применяются стандартизированные платформы, усилия по оцениванию будут меньше. Если система менеджмента ИБ интенсивно использует программное обеспечение своей разработки, усилия по аудиту будут больше. Усилия будут особенно большими, если компания использует свое программное обеспечение в основных сегментах бизнеса.
Карта сайта
357502, Российская Федерация, Ставропольский край, г. Пятигорск, ул. Университетская, д.34
