Информационная безопасность с помощью системы

Тема "Информационная безопасность" становится все более актуальной для компаний в ходе цифровой трансформации. Без достаточных мер безопасности существует риск потери и кражи данных хакерами, сбоев в работе из-за атак через Интернет или неправомерного использования данных. Одним из вариантов структурированного подхода является система управления информационной безопасностью (ISMS) в соответствии с ISO 27001.

Демонстративная безопасность данных и информации

Безопасность как часть корпоративной культуры

Эффективное внедрение процесса управления рисками

Постоянное совершенствование уровня безопасности

Business10.png
Loading...

Что такое ISO 27001?

ISO/IEC 27001 - это ведущий международный стандарт для внедрения целостной системы управления информационной безопасностью. Он фокусируется на идентификации, оценке и управлении рисками для процессов обработки информации. Безопасность конфиденциальной информации подчеркивается как важный стратегический элемент.

Информация окружает нас повсюду и является частью каждого процесса. Иногда она может быть несущественной, но слишком часто она является критически важной и конфиденциальной. Для того чтобы провести это важное для вашей организации различие, необходимо классифицировать информацию. Это необходимо потому, что защитные меры системы управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001 основаны на этой классификации.

ISMS создает основу для защиты оперативных данных и их конфиденциальности. В то же время всемирно признанный стандарт обеспечивает доступность ИТ-систем, задействованных в корпоративных процессах. В этом контексте сертификация ISO 27001 посылает сильный сигнал рынку: а именно, независимую внешнюю оценку и подтверждение эффективности вашей СУИБ.

С EN ISO/IEC 27001:2017-06 была опубликована версия, согласованная Европейским комитетом по стандартизации (CEN). Она объединяет два исправления (corrigenda) Cor 1:2014 и Cor 2:2015. Изменения, связанные с исправлениями, включают только улучшенное описание соответствующих требований, но не содержат новых, дополнительных требований. Таким образом, сертификаты по версии ISO/IEC 27001:2013 сохраняют свою силу.

Показать больше
Показать меньше
SEO19.png
Loading...

Для кого подходит сертификация по ISO 27001?

Стандарт ISMS ISO 27001 применяется во всем мире. Он предоставляет компаниям всех размеров и отраслей основу для планирования, реализации и мониторинга информационной безопасности. Требования применимы и распространяются на частные и государственные компании, а также некоммерческие организации.

В Германии, например, компании, относящиеся к сектору критической инфраструктуры (KRITIS) и превышающие пороговое значение, должны предоставить доказательства того, как они обеспечивают свою информационную безопасность. К секторам KRITIS относятся энергетика, водоснабжение, здравоохранение, финансы и страхование, продукты питания, транспорт и движение, информационные технологии и телекоммуникации. Соответствующее доказательство внедрения может быть предоставлено путем проведения аудита безопасности, тестов или сертификации. Для этой цели в качестве основы для аудита могут использоваться либо признанные стандарты, такие как ISO 27001, либо, в качестве альтернативы, отраслевые стандарты безопасности, признанные Федеральным ведомством по информационной безопасности Германии (BSI).

Показать больше
Показать меньше
Business11.png
Loading...

Что делает стандарт ISO 27001 полезным для моей компании?

Внедрение СУИБ в соответствии с ISO/IEC 27001 - это стратегическое решение для вашей компании. Выполнение четко сформулированных общих требований стандарта должно отражать конкретную ситуацию в компании. Внедрение в компании зависит от потребностей и целей, требований безопасности и организационных процессов, а также от размера и структуры компании.

Особую ценность для практики представляет реализация мер, приведенных в Приложении А стандарта. В дополнение к разделу требований, ориентированных на систему менеджмента (главы с 4 по 10), стандарт ISO содержит обширный список из 35 целей (элементов управления) с 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах Приложения А. Эти меры должны быть реализованы в рамках системы менеджмента. Эти меры должны быть реализованы в рамках системы менеджмента в той мере, в какой они актуальны для вашей компании.

Доказано, что последовательное приведение процессов компании в соответствие с ISO 27001 приводит к ряду преимуществ:

  • Постоянное повышение уровня безопасности
  • Снижение существующих рисков
  • Соблюдение требований соответствия
  • Повышение осведомленности сотрудников
  • Повышение удовлетворенности клиентов

Внутренние аудиты и управленческие обзоры с участием высшего руководства являются внутренними рычагами для достижения этой цели.

Другими положительными аспектами является то, что заинтересованные стороны, такие как надзорные органы, страховые компании, банки, компании-партнеры, повышают уровень доверия к вашей компании. Это происходит потому, что сертифицированная система менеджмента сигнализирует о том, что ваша организация структурированно работает с рисками и придерживается принципа постоянного совершенствования (CIP), что делает ее более устойчивой к нежелательным воздействиям.

Международный стандарт ISO/IEC 27001 может быть внедрен, функционировать и сертифицирован независимо от других систем менеджмента, таких как ISO 9001 (менеджмент качества) или ISO 14001 (экологический менеджмент).

Показать больше
Показать меньше
Business36.png
Loading...

Кто имеет право проводить сертификацию по ISO 27001?

Для того чтобы сертифицировать систему менеджмента информационной безопасности, соответствующий орган по сертификации должен быть аккредитован в соответствии с ISO/IEC 17021 и ISO/IEC 27006. Стандарт ISO/IEC 17021 регулирует вопросы, связанные с оценкой соответствия, в частности, требования к проверяющим органам, которые проводят аудит и сертификацию систем менеджмента.

Кроме того, ISO/IEC 27006 определяет строгие требования, которым должны соответствовать органы по сертификации, чтобы сертифицировать СУИБ по ISO 27001.

К ним относятся:

  • Доказательства проведения определенного аудита
  • Требования к квалификации аудиторов.

DQS аккредитована национальным немецким органом по аккредитации DakkS (Deutsche Akkreditierungsstelle GmbH) и поэтому уполномочена проводить аудиты и сертификацию по ISO 27001.

Независимо от отрасли, в которой работает ваша компания, вы можете положиться на особый опыт аудиторов DQS. Они имеют многолетний опыт в оценке систем управления информационной безопасностью в различных отраслях промышленности.

Показать больше
Показать меньше
Business28.png
Loading...

Как проходит сертификация ISO 27001?

После внедрения всех требований стандарта ISO 27001 вы можете сертифицировать свою систему управления. В DQS вы пройдете многоступенчатый процесс сертификации. Если в компании уже существует сертифицированная система управления, процесс может быть сокращен.

На первом этапе вы обсуждаете с нами свою компанию и цели сертификации ISO 27001. На этой основе вы получите подробное предложение, учитывающее индивидуальные потребности вашей компании.

Сертификационный аудит начинается с системного анализа и оценки вашей СУИБ (этап 1 аудита). Здесь аудитор определяет, достаточно ли развита ваша система менеджмента и готова ли она к сертификации. На следующем этапе (этап аудита системы 2) ваш аудитор оценивает эффективность всех процессов управления на объекте, применяя стандарт ISO 27001. Результаты аудита представляются на заключительном совещании. При необходимости согласовываются планы действий.

После сертификационного аудита результаты оцениваются независимым сертификационным советом DQS. Если все требования стандарта выполнены, вы получите сертификат ISO 27001.

После успешной сертификации ключевые компоненты вашей СУИБ повторно проверяются на месте не реже одного раза в год для обеспечения постоянного совершенствования.

Сертификат ISO 27001 действителен в течение максимум трех лет. Ресертификация проводится заблаговременно до истечения срока действия сертификата, чтобы обеспечить постоянное соответствие требованиям стандарта. После подтверждения соответствия выдается новый сертификат.

Banking13.png
Loading...

Сколько стоит сертификация ISO 27001?

Четыре критерия оценки

Несмотря на то, что аудит ISO 27001 должен проводиться в соответствии со структурированными спецификациями, стоимость зависит от различных факторов, таких как сложность вашей организации. Поэтому не может быть универсального предложения для любой конкретной компании.

Стоимость сертификации по ISO 27001 устанавливается, в частности, в соответствии со следующими четырьмя критериями:

1. Сложность вашей системы управления информационной безопасностью.

Принимаются во внимание критические ценности (например, патенты, персональные данные, объекты, процессы) вашей компании. Стоимость сертификации основывается, прежде всего, на требованиях информационной безопасности и степени влияния на конфиденциальность, целостность и доступность (VIV) информации.

2. Основная деятельность вашей компании в рамках СУИБ

На этом этапе риски, связанные, в частности, с вашими бизнес-процессами, играют важную роль в определении необходимых усилий по аудиту. Учитываются юридические требования, а также сложные, индивидуальные требования клиентов.

3. Основные технологии и компоненты, используемые в вашей СУИБ

В ходе аудита изучаются технологии, а также отдельные компоненты вашей СУИБ. К ним относятся ИТ-платформы, серверы, базы данных, приложения, а также сегменты сети. Основное правило здесь следующее: Чем выше доля стандартных систем и чем ниже сложность ваших ИТ, тем меньше усилий необходимо приложить. От этого зависит и стоимость сертификации ISO 27001.

4 Доля внутренних разработок в вашей СУИБ

Если внутренние разработки отсутствуют и вы в основном используете стандартизированные программные платформы, усилия по оценке будут ниже. Если ваша СУИБ характеризуется интенсивным использованием программного обеспечения собственной разработки и если это программное обеспечение используется для центральных областей бизнеса, усилия по сертификации будут выше.

Для того чтобы мы могли предоставить вам обзор затрат на сертификацию СУИБ, нам необходима точная информация о вашей бизнес-модели и области применения. Таким образом, мы сможем предоставить вам индивидуальное предложение.

Показать больше
Показать меньше
Business2.png
Loading...

Что вы можете ожидать от нас

  • Более 35 лет опыта в области сертификации систем менеджмента и процессов
  • Опытные в отрасли аудиторы и эксперты с глубокими техническими знаниями
  • Ценные знания о вашей компании
  • Сертификаты с международным признанием
  • Экспертиза и аккредитация по всем соответствующим стандартам
  • Персональная, бесперебойная поддержка со стороны наших специалистов - на региональном, национальном и международном уровнях
  • Индивидуальные предложения с гибкими условиями договора и без скрытых затрат
Contact-South-Asia-woman-shutterstock_1766529371.jpg
Loading...

Запросить предложение

Ваш местный контакт

Мы будем рады предоставить вам индивидуальное предложение на сертификацию вашей СУИБ по стандарту ISO 27001.