info@gortest.ru
+7 (800) 350-73-75
Центр сертификации Гортест > Сертификация менеджмента качества (ISO) > Сертификация ИСО/МЭК 27001:2013

Сертификация ИСО/МЭК 27001:2013

ISO/IEC 27001:2013 – это международный стандарт, правила и принципы которого направлены на защиту информации. В нашей стране существует адаптированная версия – национальный стандарт ГОСТ Р ИСО/МЭК 27001 (Системы менеджмента информационной безопасности. Требования).

Применение на практике рекомендаций в части информационных технологий, которые отражаются в специализированном нормативе, позволяет обеспечить конфиденциальность данных, идентифицировать и контролировать риски, которые возникают при работе во всемирной паутине. В России использование положений этого документа, а также сертификация выстроенной модели управления – это добровольный выбор компаний.

Что означает ISO 27001?

Информационная безопасность сегодня – это необходимое условие эффективной и легальной работы предприятий, деятельность которых связана со сбором, применением, хранением персональных и конфиденциальных данных. ИСО 27001 и его актуальная российская версия помогают в решении этой задачи.

Сертификат ГОСТ Р ИСО/МЭК 27001-2006 (данная версия норматива действовала ранее, сейчас применяется вариант от 2021 года) – это официальное, документальное подтверждение, что в организации построена и функционирует система менеджмента информационной безопасности (сокращение – СМИБ). Данная управленческая модель распространяется на следующие аспекты работы предприятия:

  • создание и применение политики в части информационной безопасности (ИБ);
  • выявление и минимизация / исключение потенциальных опасностей (кражи персональных данных);
  • совершение шагов для устранения рисков: установка антивирусов, определение функционала и зон ответственности для работников предприятия;
  • использование программ, обеспечивающих поддержание ИБ;
  • обучение сотрудников;
  • документирование принимаемых управленческих решений;
  • непрерывный контроль эффективности модели управления и принятие мер для повышения ее результативности.

Построение СМИБ в компании предполагает управление работниками и применяемым ПО, контроль взаимодействия между подразделениями фирмы, получения прав доступа к конфиденциальным сведениям.

Использование принципов стандарта в текущей работе, оформление сертификата ГОСТ Р ИСО/МЭК 27001 наиболее актуально для фирм, которые оперируют большим количеством информации. Это банковские организации и страховщики, рекрутинговые компании, предприятия в сфере информационных технологий, энергетики, те структуры, которые имеют доступ к государственной тайне.

Нюансы построения СМИБ в организациях

Стандарт ISO 27001 характеризуется универсальностью. Он применим для фирм, находящихся в разных регионах, ведущих деятельность разного масштаба. Положения этого норматива можно применять как для всего предприятия, так и для отдельного направления его работы.

Внедрение СМИБ начинается с анализа внутренних и внешних факторов, которые влияют на деятельность фирмы и на ее способность достигать намеченных целей. Они формируют контекст организации. Также проводится анализ ожиданий заинтересованных сторон. Это потребители, инвесторы, банки-кредиторы и иные лица, которых определяет для себя предприятие.

Целеполагание и ресурсное обеспечение системы ИБ – это зона ответственности высшего руководства фирмы. Топ-менеджмент составляет политику в сфере ИБ, которая:

  • отвечает прочим целям компании;
  • определяет цели в области ИБ;
  • устанавливает обязательство фирмы следовать требованиям в сфере ИБ.

Политика оформляется в виде бумажного или электронного документа, доводится до сведения персонала и заинтересованных лиц.

Также предприятие обязано оценивать риски в сфере ИБ. Устанавливаются критерии:

  • принятия рисков;
  • их оценки;
  • определения последствий наступления опасностей;
  • вероятности их возникновения.

На основании проведенного анализа рисков устанавливаются цели в области ИБ. Согласно ISO 27001, они должны быть измеримыми, известными всем заинтересованным сторонам, задокументированными и обновляемыми при необходимости.

Установив цели, организация определяет необходимые процессы для их достижения, обеспечивает их ресурсами. Под процессом понимается преобразование входных данных в выходные.

Зачем компании следуют стандарту ИСО 27001?

Организации решают разработать, выстроить эффективную СМИБ и получить сертификат ISO 27001, потому что совершение данных шагов позволяет:

  • получить возможность работы с государственной тайной (в том числе в сфере гособоронзаказа);
  • укрепить положительную репутацию компании в глазах партнеров и общественности;
  • повысить конкурентоспособность выпускаемого на рынок продукта;
  • сделать организацию привлекательнее для инвесторов;
  • получить преференции при участии в закупках;
  • расширить географию торговли;
  • получать лицензии, допуски в ускоренном порядке.

Выстраивание работы по стандарту ГОСТ Р ИСО/МЭК 27001-2021 позволяет компании определить цели и критерии безопасности в сфере управления данными, выполнить требования законодательства по взаимодействию с конфиденциальной информацией, оптимизировать взаимодействие между подразделениями, сделать деятельность организации более прогнозируемой.

Регулярные аудиты, которые проводятся в организации, позволяют своевременно выявлять «слабые места» в сфере ИБ, совершать корректирующие действия.

Компании вправе сертифицировать как модель управления в целом, так и ее часть, в рамках которой реализуется СМИБ. Например, банк может подтвердить соответствие системы по обеспечению безопасности личных данных клиентов.

Как провести сертификацию ИСО 27001?

Чтобы оформить сертификат соответствия ГОСТ Р ИСО 27001, предприятия обращаются за содействием в специализированный центр сертификации «Гортест». Специалисты помогают клиенту построить и внедрить СМИБ, провести запланированные оценочные процедуры.

Для сотрудничества с центром от клиента требуется:

  • заявка;
  • сканы ИНН, ОГРН;
  • скан устава;
  • реквизиты заявителя в банке;
  • подробное описание работы предприятия;
  • информация об организационной структуре фирмы;
  • штатное расписание;
  • информация о применяемом ПО, лицензии на него;
  • приказ о назначении гендиректора;
  • прочее (по дополнительному запросу).

Эксперты анализирует полученную информацию, на консультациях с заявителем обсуждает все нюансы и условия предстоящей работы. Далее с клиентом заключается договор.

Специалисты центра помогают компании пройти все шаги по внедрению СМИБ, в том числе:

  • разъясняют руководству и линейному персоналу организации требования стандарта;
  • помогают разработать и оформить комплект документации в рамках ИС 27001 (включает политику по ИБ, приказы о назначении уполномоченных лиц, их должностные инструкции, записи, программы контроля и т.д.);
  • проводят анализ текущей системы управления компании.

Объем документированной информации, оформляемой в рамках ИСО 27001, зависит от масштабов деятельности фирмы, направления работы, сложности и специфики внутренних организационных процессов, квалификации персонала.

После построения модели менеджмента в рамках ISO 27001 предприниматель вправе провести ее сертификацию. Оценочные процедуры включают:

  • проверку документации и отчетности, разработанной в рамках ISO 27001;
  • выезд представителей аккредитованного органа на предприятие для проведения инспекции (при необходимости).

Если итоги проверок положительные, принимается решение о предоставлении сертификата. Документ выдается заявителю на официальном бланке той системы, в которой проводилась процедура.

Сертификат соответствия МЭК предоставляется на период в три года. На весь период действия документа держатель получает право использовать знак качества ISO.

Узнайте больше о требованиях ISO 27001, получите помощь в разработке и внедрении СМИБ, а также в оценке ее соответствия у экспертов центра сертификации и стандартизации «Гортест».

Бесплатная консультация

    С этим документом также оформляют
    Часто задаваемые вопросы

    Как получить сертификат ISO 27001?

    Для получения документа необходимо подать заявку в сертификационный центр «Гортест».

    Процедура сертификации предполагает наличие на предприятии работоспособной системы менеджмента, разработанной на базе этого стандарта.

    При необходимости эксперты центра помогут сначала разработать и внедрить СМК в работу фирмы, после чего организуют независимую оценку результативности внедренной системы.

    При соответствии системы менеджмента заданному стандарту организация получит сертификат.

    Кому нужна сертификация по ISO 27001?

    Сертификат получают в добровольном порядке те организации, для которых сохранение конфиденциальной информации наиболее востребовано, например:

    • банки, кредитные, финансовые и страховые организации;
    • предприятия энергетической и ядерной промышленной области;
    • научно-исследовательские институты;
    • госструктуры;
    • телекоммуникационные и IT-компании.

    Сертификат подтверждает, что предприятие руководствуется в управлении рекомендациями стандарта в части информационной безопасности, гарантирует защиту сведений о контрагентах, договорах и финансах.

    Сколько стоит сертификат ISO 27001?

    Стоимость процедуры сертификации зависит от особенностей конкретного случая, а именно:

    • от необходимости предварительной разработки и внедрения системы менеджмента информационной безопасности;
    • вида деятельности организации и перечня оказываемых услуг;
    • технологий и компонентов используемой системы;
    • объема самостоятельно внедренных разработок.

    Сотрудники сертификационного центра рассчитают стоимость работ во время предварительной консультации.

      Оставить заявку