Информационная безопасность с помощью системы
Демонстративная безопасность данных и информации
Безопасность как часть корпоративной культуры
Эффективное внедрение процесса управления рисками
Постоянное совершенствование уровня безопасности
Что такое ISO 27001?
Информация окружает нас повсюду и является частью каждого процесса. Иногда она может быть несущественной, но слишком часто она является критически важной и конфиденциальной. Для того чтобы провести это важное для вашей организации различие, необходимо классифицировать информацию. Это необходимо потому, что защитные меры системы управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001 основаны на этой классификации.
ISMS создает основу для защиты оперативных данных и их конфиденциальности. В то же время всемирно признанный стандарт обеспечивает доступность ИТ-систем, задействованных в корпоративных процессах. В этом контексте сертификация ISO 27001 посылает сильный сигнал рынку: а именно, независимую внешнюю оценку и подтверждение эффективности вашей СУИБ.
С EN ISO/IEC 27001:2017-06 была опубликована версия, согласованная Европейским комитетом по стандартизации (CEN). Она объединяет два исправления (corrigenda) Cor 1:2014 и Cor 2:2015. Изменения, связанные с исправлениями, включают только улучшенное описание соответствующих требований, но не содержат новых, дополнительных требований. Таким образом, сертификаты по версии ISO/IEC 27001:2013 сохраняют свою силу.
Для кого подходит сертификация по ISO 27001?
В Германии, например, компании, относящиеся к сектору критической инфраструктуры (KRITIS) и превышающие пороговое значение, должны предоставить доказательства того, как они обеспечивают свою информационную безопасность. К секторам KRITIS относятся энергетика, водоснабжение, здравоохранение, финансы и страхование, продукты питания, транспорт и движение, информационные технологии и телекоммуникации. Соответствующее доказательство внедрения может быть предоставлено путем проведения аудита безопасности, тестов или сертификации. Для этой цели в качестве основы для аудита могут использоваться либо признанные стандарты, такие как ISO 27001, либо, в качестве альтернативы, отраслевые стандарты безопасности, признанные Федеральным ведомством по информационной безопасности Германии (BSI).
Что делает стандарт ISO 27001 полезным для моей компании?
Особую ценность для практики представляет реализация мер, приведенных в Приложении А стандарта. В дополнение к разделу требований, ориентированных на систему менеджмента (главы с 4 по 10), стандарт ISO содержит обширный список из 35 целей (элементов управления) с 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах Приложения А. Эти меры должны быть реализованы в рамках системы менеджмента. Эти меры должны быть реализованы в рамках системы менеджмента в той мере, в какой они актуальны для вашей компании.
Доказано, что последовательное приведение процессов компании в соответствие с ISO 27001 приводит к ряду преимуществ:
- Постоянное повышение уровня безопасности
- Снижение существующих рисков
- Соблюдение требований соответствия
- Повышение осведомленности сотрудников
- Повышение удовлетворенности клиентов
Внутренние аудиты и управленческие обзоры с участием высшего руководства являются внутренними рычагами для достижения этой цели.
Другими положительными аспектами является то, что заинтересованные стороны, такие как надзорные органы, страховые компании, банки, компании-партнеры, повышают уровень доверия к вашей компании. Это происходит потому, что сертифицированная система менеджмента сигнализирует о том, что ваша организация структурированно работает с рисками и придерживается принципа постоянного совершенствования (CIP), что делает ее более устойчивой к нежелательным воздействиям.
Международный стандарт ISO/IEC 27001 может быть внедрен, функционировать и сертифицирован независимо от других систем менеджмента, таких как ISO 9001 (менеджмент качества) или ISO 14001 (экологический менеджмент).
Кто имеет право проводить сертификацию по ISO 27001?
Кроме того, ISO/IEC 27006 определяет строгие требования, которым должны соответствовать органы по сертификации, чтобы сертифицировать СУИБ по ISO 27001.
К ним относятся:
- Доказательства проведения определенного аудита
- Требования к квалификации аудиторов.
DQS аккредитована национальным немецким органом по аккредитации DakkS (Deutsche Akkreditierungsstelle GmbH) и поэтому уполномочена проводить аудиты и сертификацию по ISO 27001.
Независимо от отрасли, в которой работает ваша компания, вы можете положиться на особый опыт аудиторов DQS. Они имеют многолетний опыт в оценке систем управления информационной безопасностью в различных отраслях промышленности.
Как проходит сертификация ISO 27001?
После внедрения всех требований стандарта ISO 27001 вы можете сертифицировать свою систему управления. В DQS вы пройдете многоступенчатый процесс сертификации. Если в компании уже существует сертифицированная система управления, процесс может быть сокращен.
На первом этапе вы обсуждаете с нами свою компанию и цели сертификации ISO 27001. На этой основе вы получите подробное предложение, учитывающее индивидуальные потребности вашей компании.
Сертификационный аудит начинается с системного анализа и оценки вашей СУИБ (этап 1 аудита). Здесь аудитор определяет, достаточно ли развита ваша система менеджмента и готова ли она к сертификации. На следующем этапе (этап аудита системы 2) ваш аудитор оценивает эффективность всех процессов управления на объекте, применяя стандарт ISO 27001. Результаты аудита представляются на заключительном совещании. При необходимости согласовываются планы действий.
После сертификационного аудита результаты оцениваются независимым сертификационным советом DQS. Если все требования стандарта выполнены, вы получите сертификат ISO 27001.
После успешной сертификации ключевые компоненты вашей СУИБ повторно проверяются на месте не реже одного раза в год для обеспечения постоянного совершенствования.
Сертификат ISO 27001 действителен в течение максимум трех лет. Ресертификация проводится заблаговременно до истечения срока действия сертификата, чтобы обеспечить постоянное соответствие требованиям стандарта. После подтверждения соответствия выдается новый сертификат.
Сколько стоит сертификация ISO 27001?
Стоимость сертификации по ISO 27001 устанавливается, в частности, в соответствии со следующими четырьмя критериями:
1. Сложность вашей системы управления информационной безопасностью.
Принимаются во внимание критические ценности (например, патенты, персональные данные, объекты, процессы) вашей компании. Стоимость сертификации основывается, прежде всего, на требованиях информационной безопасности и степени влияния на конфиденциальность, целостность и доступность (VIV) информации.
2. Основная деятельность вашей компании в рамках СУИБ
На этом этапе риски, связанные, в частности, с вашими бизнес-процессами, играют важную роль в определении необходимых усилий по аудиту. Учитываются юридические требования, а также сложные, индивидуальные требования клиентов.
3. Основные технологии и компоненты, используемые в вашей СУИБ
В ходе аудита изучаются технологии, а также отдельные компоненты вашей СУИБ. К ним относятся ИТ-платформы, серверы, базы данных, приложения, а также сегменты сети. Основное правило здесь следующее: Чем выше доля стандартных систем и чем ниже сложность ваших ИТ, тем меньше усилий необходимо приложить. От этого зависит и стоимость сертификации ISO 27001.
4 Доля внутренних разработок в вашей СУИБ
Если внутренние разработки отсутствуют и вы в основном используете стандартизированные программные платформы, усилия по оценке будут ниже. Если ваша СУИБ характеризуется интенсивным использованием программного обеспечения собственной разработки и если это программное обеспечение используется для центральных областей бизнеса, усилия по сертификации будут выше.
Для того чтобы мы могли предоставить вам обзор затрат на сертификацию СУИБ, нам необходима точная информация о вашей бизнес-модели и области применения. Таким образом, мы сможем предоставить вам индивидуальное предложение.