Наш телеграм Наш WhatsApp Наш MAX
Наш адрес Адрес г. Санкт-Петербург, пер Каховского, д. 12 стр. 1, помещ. 24-Н Мы работаем с 9.30 до 18.00 по будням
Номер телефона Телефон +7 (800) 350-73-75
Email info@gortest.ru
Наш телеграм Наш WhatsApp Наш MAX
Центр сертификации Гортест > Сертификация менеджмента качества (ISO) > Сертификация ИСО/МЭК 27001:2013

Сертификация ИСО/МЭК 27001:2013

ISO/IEC 27001:2013 – это международный стандарт, правила и принципы которого направлены на защиту информации. В нашей стране существует адаптированная версия – национальный стандарт ГОСТ Р ИСО/МЭК 27001 (Системы менеджмента информационной безопасности. Требования).

Применение на практике рекомендаций в части информационных технологий, которые отражаются в специализированном нормативе, позволяет обеспечить конфиденциальность данных, идентифицировать и контролировать риски, которые возникают при работе во всемирной паутине. В России использование положений этого документа, а также сертификация выстроенной модели управления – это добровольный выбор компаний.

Что означает ISO 27001?

Информационная безопасность сегодня – это необходимое условие эффективной и легальной работы предприятий, деятельность которых связана со сбором, применением, хранением персональных и конфиденциальных данных. ИСО 27001 и его актуальная российская версия помогают в решении этой задачи.

Сертификат ГОСТ Р ИСО/МЭК 27001-2006 (данная версия норматива действовала ранее, сейчас применяется вариант от 2021 года) – это официальное, документальное подтверждение, что в организации построена и функционирует система менеджмента информационной безопасности (сокращение – СМИБ). Данная управленческая модель распространяется на следующие аспекты работы предприятия:

  • создание и применение политики в части информационной безопасности (ИБ);
  • выявление и минимизация / исключение потенциальных опасностей (кражи персональных данных);
  • совершение шагов для устранения рисков: установка антивирусов, определение функционала и зон ответственности для работников предприятия;
  • использование программ, обеспечивающих поддержание ИБ;
  • обучение сотрудников;
  • документирование принимаемых управленческих решений;
  • непрерывный контроль эффективности модели управления и принятие мер для повышения ее результативности.

Построение СМИБ в компании предполагает управление работниками и применяемым ПО, контроль взаимодействия между подразделениями фирмы, получения прав доступа к конфиденциальным сведениям.

Использование принципов стандарта в текущей работе, оформление сертификата ГОСТ Р ИСО/МЭК 27001 наиболее актуально для фирм, которые оперируют большим количеством информации. Это банковские организации и страховщики, рекрутинговые компании, предприятия в сфере информационных технологий, энергетики, те структуры, которые имеют доступ к государственной тайне.

Нюансы построения СМИБ в организациях

Стандарт ISO 27001 характеризуется универсальностью. Он применим для фирм, находящихся в разных регионах, ведущих деятельность разного масштаба. Положения этого норматива можно применять как для всего предприятия, так и для отдельного направления его работы.

Внедрение СМИБ начинается с анализа внутренних и внешних факторов, которые влияют на деятельность фирмы и на ее способность достигать намеченных целей. Они формируют контекст организации. Также проводится анализ ожиданий заинтересованных сторон. Это потребители, инвесторы, банки-кредиторы и иные лица, которых определяет для себя предприятие.

Целеполагание и ресурсное обеспечение системы ИБ – это зона ответственности высшего руководства фирмы. Топ-менеджмент составляет политику в сфере ИБ, которая:

  • отвечает прочим целям компании;
  • определяет цели в области ИБ;
  • устанавливает обязательство фирмы следовать требованиям в сфере ИБ.

Политика оформляется в виде бумажного или электронного документа, доводится до сведения персонала и заинтересованных лиц.

Также предприятие обязано оценивать риски в сфере ИБ. Устанавливаются критерии:

  • принятия рисков;
  • их оценки;
  • определения последствий наступления опасностей;
  • вероятности их возникновения.

На основании проведенного анализа рисков устанавливаются цели в области ИБ. Согласно ISO 27001, они должны быть измеримыми, известными всем заинтересованным сторонам, задокументированными и обновляемыми при необходимости.

Установив цели, организация определяет необходимые процессы для их достижения, обеспечивает их ресурсами. Под процессом понимается преобразование входных данных в выходные.

Зачем компании следуют стандарту ИСО 27001?

Организации решают разработать, выстроить эффективную СМИБ и получить сертификат ISO 27001, потому что совершение данных шагов позволяет:

  • получить возможность работы с государственной тайной (в том числе в сфере гособоронзаказа);
  • укрепить положительную репутацию компании в глазах партнеров и общественности;
  • повысить конкурентоспособность выпускаемого на рынок продукта;
  • сделать организацию привлекательнее для инвесторов;
  • получить преференции при участии в закупках;
  • расширить географию торговли;
  • получать лицензии, допуски в ускоренном порядке.

Выстраивание работы по стандарту ГОСТ Р ИСО/МЭК 27001-2021 позволяет компании определить цели и критерии безопасности в сфере управления данными, выполнить требования законодательства по взаимодействию с конфиденциальной информацией, оптимизировать взаимодействие между подразделениями, сделать деятельность организации более прогнозируемой.

Регулярные аудиты, которые проводятся в организации, позволяют своевременно выявлять «слабые места» в сфере ИБ, совершать корректирующие действия.

Компании вправе сертифицировать как модель управления в целом, так и ее часть, в рамках которой реализуется СМИБ. Например, банк может подтвердить соответствие системы по обеспечению безопасности личных данных клиентов.

Как провести сертификацию ИСО 27001?

Чтобы оформить сертификат соответствия ГОСТ Р ИСО 27001, предприятия обращаются за содействием в специализированный центр сертификации «Гортест». Специалисты помогают клиенту построить и внедрить СМИБ, провести запланированные оценочные процедуры.

Для сотрудничества с центром от клиента требуется:

  • заявка;
  • сканы ИНН, ОГРН;
  • скан устава;
  • реквизиты заявителя в банке;
  • подробное описание работы предприятия;
  • информация об организационной структуре фирмы;
  • штатное расписание;
  • информация о применяемом ПО, лицензии на него;
  • приказ о назначении гендиректора;
  • прочее (по дополнительному запросу).

Эксперты анализирует полученную информацию, на консультациях с заявителем обсуждает все нюансы и условия предстоящей работы. Далее с клиентом заключается договор.

Специалисты центра помогают компании пройти все шаги по внедрению СМИБ, в том числе:

  • разъясняют руководству и линейному персоналу организации требования стандарта;
  • помогают разработать и оформить комплект документации в рамках ИС 27001 (включает политику по ИБ, приказы о назначении уполномоченных лиц, их должностные инструкции, записи, программы контроля и т.д.);
  • проводят анализ текущей системы управления компании.

Объем документированной информации, оформляемой в рамках ИСО 27001, зависит от масштабов деятельности фирмы, направления работы, сложности и специфики внутренних организационных процессов, квалификации персонала.

После построения модели менеджмента в рамках ISO 27001 предприниматель вправе провести ее сертификацию. Оценочные процедуры включают:

  • проверку документации и отчетности, разработанной в рамках ISO 27001;
  • выезд представителей аккредитованного органа на предприятие для проведения инспекции (при необходимости).

Если итоги проверок положительные, принимается решение о предоставлении сертификата. Документ выдается заявителю на официальном бланке той системы, в которой проводилась процедура.

Сертификат соответствия МЭК предоставляется на период в три года. На весь период действия документа держатель получает право использовать знак качества ISO.

Узнайте больше о требованиях ISO 27001, получите помощь в разработке и внедрении СМИБ, а также в оценке ее соответствия у экспертов центра сертификации и стандартизации «Гортест».

Бесплатная консультация
С этим документом также оформляют
Часто задаваемые вопросы

Как получить сертификат ISO 27001?

Для получения документа необходимо подать заявку в сертификационный центр «Гортест».

Процедура сертификации предполагает наличие на предприятии работоспособной системы менеджмента, разработанной на базе этого стандарта.

При необходимости эксперты центра помогут сначала разработать и внедрить СМК в работу фирмы, после чего организуют независимую оценку результативности внедренной системы.

При соответствии системы менеджмента заданному стандарту организация получит сертификат.

Кому нужна сертификация по ISO 27001?

Сертификат получают в добровольном порядке те организации, для которых сохранение конфиденциальной информации наиболее востребовано, например:

  • банки, кредитные, финансовые и страховые организации;
  • предприятия энергетической и ядерной промышленной области;
  • научно-исследовательские институты;
  • госструктуры;
  • телекоммуникационные и IT-компании.

Сертификат подтверждает, что предприятие руководствуется в управлении рекомендациями стандарта в части информационной безопасности, гарантирует защиту сведений о контрагентах, договорах и финансах.

Сколько стоит сертификат ISO 27001?

Стоимость процедуры сертификации зависит от особенностей конкретного случая, а именно:

  • от необходимости предварительной разработки и внедрения системы менеджмента информационной безопасности;
  • вида деятельности организации и перечня оказываемых услуг;
  • технологий и компонентов используемой системы;
  • объема самостоятельно внедренных разработок.

Сотрудники сертификационного центра рассчитают стоимость работ во время предварительной консультации.

Бесплатная консультация от эксперта
Эксперт
Панина Галина
Эксперт по сертификации
WhatsApp icon
Telegram icon
Max icon

    Оставить заявку

    Продолжая использовать сайт, вы разрешаете использование cookies, соглашаетесь с передачей обезличенных данных в системы веб-аналитики и Политикой конфиденциальности