Сертификация ISO/IEC 27001

 

В современную эпоху динамичного развития IT-сферы, вопросы информационной безопасности, защиты данных и сохранения конфиденциальности выходят на первый план.

Кто владеет информацией, тот владеет миром. Актуальность данного высказывания приобретает в последнее время все большее значение.

Разработка и внедрение системы менеджмента информационной безопасности (СМИБ) автоматически выводит компанию на новый уровень взаимоотношений с партнерами, так как гарантирует надлежащий уровень сохранности коммерческой информации.

Что является объектом сертификации ISO/IEC 27001:2005?

Эффективность СМИБ предприятия, которая выступает объектом сертификации, обусловлена применением в процессе ее разработки и создания требований и принципов, изложенных в МС ISO/IEC 17799:2005 и ISO/IEC 27001:2005.

Первый документ содержит базовые принципы построения такой системы и выступает своего рода руководством по ее созданию и внедрению, описывает процессы, относящиеся к сопровождению, обслуживанию, усовершенствованию системы, а также предлагает средства и механизмы осуществления контроля.

Стандарт ISO/IEC 27001:2005 регламентирует деятельность уже функционирующей системы и содержит основные требования, описывает механизмы выявления опасностей и угроз, а также пути их минимизации.

СМИБ включает в себя процессы:

  • введение терминологии ИБ;
  • классификация и группировка по схожим критериям информационных ресурсов;
  • выявление иерархии процессов, отвечающих за ИБ;
  • определение рисков и их оценка в сфере ИБ;
  • разработка мероприятий по компенсации и сокращению рисков;
  • обеспечение безопасности сотрудников и физической безопасности помещений и др.

Каждый вышеуказанный процесс в общей СМИБ подробно описан в ISO/IEC 27001:2005 и является составной частью единого объекта сертификации.

Процедура оформления сертификата ГОСТ Р ИСО/МЭК 27001-2006 

Процесс сертификации бизнес-процессов по аналогии с сертификацией товаров является стандартным и состоит из таких основных стадий:

  • Подача письменной заявки и документов в Центр сертификации «СибирьТест». Сертификация на соответствие стандарту ГОСТ Р ИСО/МЭК 27001-2006 проводится на добровольной основе. В связи с этим заявитель должен подать в орган по сертификации, имеющий соответствующую аккредитацию, письменное заявление о желании проведения такой процедуры. Также обязательными документами для сертификации в любой системе является документация в отношении заявителя и его деятельности. Сюда входят реквизиты заявителя, устав, свидетельства о государственной регистрации предприятия (ОГРН) и взятии его на учет в налоговых органах (ИНН), выписка из единого реестра юридических или физических лиц и другие. Третья часть стартового пакета документов, необходимого для сертификации представляет собой сведения непосредственно о самой СМИБ.
  • Документальная проверка. На этом этапе проверяются все предоставленные документы на предмет из достаточности, полноты, достоверности, а также проводится предварительный анализ соответствия. Проводится анализ в отношении того, насколько документация о внедренной в компании СМИБ соответствует требованиям стандарта ИСО/МЭК 27001-2006. В случае выявления несоответствий на этом этапе, специалисты Центра сертификации «СибирьТест» разрабатывают и выдают заявителю рекомендации в отношении проведения корректировочных мероприятий на предприятии в отношении организации деятельности СМИБ.
  • Если в ходе документальной проверки ее результаты не выявили грубых нарушений стандарта ГОСТ Р ИСО/МЭК 27001-2006, то далее проводится непосредственно сертификационный аудит компании. Для этого специалист Центра сертификации «СибирьТест» выезжает на предприятие, где оценивает насколько задокументированная СМИБ внедрена в действие, определяет уровень ее эффективности и устанавливает соответствие как внутренним документам, так и требованиям профильного стандарта.
  • После проведения всех вышеуказанных мероприятий принимается решение о выдаче сертификата и заявитель получает на руки сертификат соответствия ГОСТ Р ИСО/МЭК 27001-2006.
  • Инспекционный контроль. После выдачи документа сертификация не заканчивается. Учитывая, что срок действия сертификата ограничен тремя годами, в течение периода его действия проводятся плановые инспекционные проверки, в ходе которых подтверждается неизменность функционирования системы и ее соответствие ИСО/МЭК 27001-2006.
  • По истечении трех лет проводится ресертификационный аудит с целью выдачи нового сертификата.

Таким образом, процедуру сертификации соответствия требованиям ISO 27001 нельзя назвать очень сложной, но и самостоятельно без привлечения специалистов Центра сертификации «СибирьТест» провести ее не удастся.

Основные преимущества сертификации ИСО/МЭК 27001-2006 

  • демонстрация клиентам и контрагентам налаженного эффективного менеджмента в области информационной защиты;
  • рост доверия и других имиджевых показателей;
  • увеличение шансов на привлечение инвестиций;
  • наличие действующей СМИБ является достаточно весомым конкурентным преимуществом
  • сокращение барьеров при освоении новых рынков;
  • точное выполнение требований и отсутствие риска нарушения ФЗ №152 «О персональных данных»;
  • преференции в сфере страхования и другие.

Сертификат соответствия информационной безопасности может получить любая компания независимо от формы организации и количества персонала. Также стандартом не устанавливаются какие ограничения в отношении применяемого программного обеспечения или средств технической защиты. То есть вам не нужно будет для получения сертификата переводить компанию на новое ПО или заказывать новые устройства техзащиты.

Все что требуется для получения сертификата – обратиться к специалистам Центра сертификации «СибирьТест»!

 

Для получения информации по сертификации ИСО по другим направлениям, рекомендуем ознакомиться со статьями: