Man and a woman with a laptop in a server room

Сертификация ISO 27001

Ваш запрос


Информационная безопасность с помощью системы

Тема "Информационная безопасность" становится все более актуальной для компаний в ходе цифровой трансформации. Без достаточных мер безопасности существует риск потери и кражи данных хакерами, сбоев в работе из-за атак через Интернет или неправомерного использования данных. Одним из вариантов структурированного подхода является система менеджмента информационной безопасности (ISMS) в соответствии с ISO 27001.

Демонстративная безопасность данных и информации

Безопасность как часть корпоративной культуры

Эффективное внедрение процесса управления рисками

Постоянное совершенствование уровня безопасности

Business10.png

Что такое ISO 27001?

ISO/IEC 27001 - это ведущий международный стандарт для внедрения целостной системы менеджмента информационной безопасности. Он направлен на идентификацию, оценку и управление рисками для процессов обработки информации. Безопасность конфиденциальной информации подчеркивается как важный стратегический элемент.

Информация окружает нас повсюду и является частью каждого процесса. Иногда она может быть несущественной, но слишком часто она является критически важной и конфиденциальной. Для того чтобы провести это важное для вашей организации различие, необходимо классифицировать информацию. Это необходимо потому, что защитные меры системы менеджмента информационной безопасности (СМИБ) в соответствии с ISO/IEC 27001 основаны на этой классификации.

СМИБ создает основу для защиты оперативных данных и их конфиденциальности. В то же время всемирно признанный стандарт обеспечивает доступность ИТ-систем, задействованных в корпоративных процессах. В этом контексте сертификация ISO 27001 посылает четкий сигнал рынку: а именно, независимую внешнюю оценку и подтверждение эффективности вашей СМИБ.

С EN ISO/IEC 27001:2017-06 была опубликована версия, согласованная Европейским комитетом по стандартизации (CEN). Она объединяет два исправления (corrigenda) Cor 1:2014 и Cor 2:2015. Изменения, связанные с исправлениями, включают только улучшенное описание соответствующих требований, но не содержат новых, дополнительных требований. Таким образом, сертификаты по версии ISO/IEC 27001:2013 сохраняют свою силу.

Развернуть
Свернуть
SEO19.png

Для кого подходит сертификация по ISO 27001?

Стандарт СМИБ ISO 27001 применяется во всем мире. Он предоставляет компаниям всех размеров и отраслей основу для планирования, реализации и мониторинга информационной безопасности. Требования применимы и распространяются на частные и государственные компании, а также некоммерческие организации.

В Германии, например, компании, относящиеся к сектору критической инфраструктуры (KRITIS) и превышающие пороговое значение, должны предоставить доказательства того, как они обеспечивают свою информационную безопасность. К секторам KRITIS относятся энергетика, водоснабжение, здравоохранение, финансы и страхование, продукты питания, транспорт и дорожное движение, информационные технологии и телекоммуникации. Соответствующее доказательство внедрения может быть предоставлено путем проведения аудита безопасности, тестов или сертификации. Для этой цели в качестве основы для аудита могут использоваться либо признанные стандарты, такие как ISO 27001, либо, в качестве альтернативы, отраслевые стандарты безопасности, признанные Федеральным ведомством по информационной безопасности Германии (BSI).

Развернуть
Свернуть
Business11.png

Что делает стандарт ISO 27001 полезным для моей компании?

Внедрение СМИБ в соответствии с ISO/IEC 27001 - это стратегическое решение для вашей компании. Выполнение четко сформулированных общих требований стандарта должно отражать конкретную ситуацию в компании. Внедрение в компании зависит от потребностей и целей, требований безопасности и организационных процессов, а также от размера и структуры компании.

Особую ценность для практики представляет реализация мер, приведенных в Приложении А стандарта. В дополнение к разделу требований, ориентированных на систему менеджмента (главы с 4 по 10), стандарт ISO содержит обширный список из 35 целей (элементов управления) с 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах Приложения А. Эти меры должны быть реализованы в рамках системы менеджмента. Эти меры должны быть реализованы в рамках системы менеджмента в той мере, в какой они актуальны для вашей компании.

Доказано, что последовательное приведение процессов компании в соответствие с ISO 27001 приводит к ряду преимуществ:

  • Постоянное повышение уровня безопасности
  • Снижение существующих рисков
  • Соблюдение требований соответствия
  • Повышение осведомленности сотрудников
  • Повышение удовлетворенности заказчиков

Внутренние аудиты и анализ со стороны высшего руководства являются внутренними рычагами для достижения этой цели.

Другими положительными аспектами является то, что заинтересованные стороны, такие как надзорные органы, страховые компании, банки, компании-партнеры, повышают уровень доверия к вашей компании. Это происходит потому, что сертифицированная система менеджмента сигнализирует о том, что ваша организация структурированно работает с рисками и придерживается принципа постоянного совершенствования (CIP), что делает ее более устойчивой к нежелательным воздействиям.

Международный стандарт ISO/IEC 27001 может быть внедрен, функционировать и сертифицирован независимо от других систем менеджмента, таких как ISO 9001 (менеджмент качества) или ISO 14001 (экологический менеджмент).

 

Развернуть
Свернуть
Business36.png

Кто имеет право проводить сертификацию по ISO 27001?

Для того чтобы сертифицировать систему менеджмента информационной безопасности, орган по сертификации должен быть аккредитован в соответствии с ISO/IEC 17021 и ISO/IEC 27006. Стандарт ISO/IEC 17021 регулирует вопросы, связанные с оценкой соответствия, в частности, требования к проверяющим органам, которые проводят аудит и сертификацию систем менеджмента.

Кроме того, ISO/IEC 27006 определяет строгие требования, которым должны соответствовать органы по сертификации, чтобы сертифицировать СМИБ по ISO 27001.

К ним относятся:

  • Доказательства проведения определенного аудита
  • Требования к квалификации аудиторов.

DQS аккредитована национальным немецким органом по аккредитации DakkS (Deutsche Akkreditierungsstelle GmbH) и поэтому уполномочена проводить аудиты и сертификацию по ISO 27001.

Независимо от отрасли, в которой работает ваша компания, вы можете положиться на особый опыт аудиторов DQS. Они имеют многолетний опыт в оценке систем управления информационной безопасностью в различных отраслях промышленности.

Развернуть
Свернуть
Business28.png

Как проходит сертификация ISO 27001?

После внедрения всех требований стандарта ISO 27001 вы можете сертифицировать свою систему управления. В DQS вы пройдете многоступенчатый процесс сертификации. Если в компании уже существует сертифицированная система управления, процесс может быть сокращен.

На первом этапе вы обсуждаете с нами свою компанию и цели сертификации ISO 27001. На этой основе вы получите подробное предложение, учитывающее индивидуальные потребности вашей компании.

Совещание по планированию проекта может быть полезно для более крупных проектов, например, для того, чтобы лучше скоординировать графики и проведение аудита с несколькими филиалами или подразделениями. Предварительный аудит дает вам возможность заранее определить сильные стороны и потенциал для улучшения вашей системы менеджмента. Обе услуги предоставляются по желанию.

Сертификационный аудит начинается с системного анализа и оценки вашей СМИБ (1й этап аудита). Здесь аудитор определяет, достаточно ли развита ваша система менеджмента и готова ли она к сертификации. На следующем этапе (2й этап аудита системы) аудитор оценивает эффективность всех процессов управления на объекте, применяя стандарт ISO 27001. Результаты аудита представляются на заключительном совещании. При необходимости согласовываются планы действий.

После сертификационного аудита результаты оцениваются независимым сертификационным советом DQS. Если все требования стандарта выполнены, вы получите сертификат ISO 27001.

После успешной сертификации ключевые компоненты вашей СМИБ повторно проверяются на месте не реже одного раза в год для обеспечения постоянного совершенствования.

Сертификат ISO 27001 действителен в течение максимум трех лет. Ресертификация проводится заблаговременно до истечения срока действия сертификата, чтобы обеспечить постоянное соответствие требованиям стандарта. После подтверждения соответствия выдается новый сертификат.

Banking13.png

Сколько стоит сертификация ISO 27001?

Четыре критерия оценки

Несмотря на то, что аудит ISO 27001 должен проводиться в соответствии со структурированными спецификациями, стоимость зависит от различных факторов, таких как сложность вашей организации. Поэтому не может быть универсального предложения для любой конкретной компании.

Стоимость сертификации по ISO 27001 устанавливается, в частности, в соответствии со следующими четырьмя критериями:

1. Сложность вашей системы менеджмента информационной безопасности.

Принимаются во внимание критические ценности (например, патенты, персональные данные, объекты, процессы) вашей компании. Стоимость сертификации основывается, прежде всего, на требованиях информационной безопасности и степени влияния на конфиденциальность, целостность и доступность (VIV) информации.

2. Основная деятельность вашей компании в рамках СМИБ

На этом этапе риски, связанные, в частности, с вашими бизнес-процессами, играют важную роль в определении необходимых усилий по аудиту. Учитываются юридические требования, а также сложные, индивидуальные требования клиентов.

3. Основные технологии и компоненты, используемые в вашей СМИБ

В ходе аудита изучаются технологии, а также отдельные компоненты вашей СМИБ. К ним относятся ИТ-платформы, серверы, базы данных, приложения, а также сегменты сети. Основное правило здесь следующее: Чем выше доля стандартных систем и чем ниже сложность ваших ИТ, тем меньше усилий необходимо приложить. От этого зависит и стоимость сертификации ISO 27001.

4 Доля внутренних разработок в вашей СМИБ

Если внутренние разработки отсутствуют и вы в основном используете стандартизированные программные платформы, усилия по оценке будут ниже. Если ваша СМИБ характеризуется интенсивным использованием программного обеспечения собственной разработки и если это программное обеспечение используется для центральных областей бизнеса, усилия по сертификации будут выше.

Для того чтобы мы могли предоставить вам обзор затрат на сертификацию СМИБ, нам необходима точная информация о вашей бизнес-модели и области применения. Таким образом, мы сможем предоставить вам индивидуальное предложение.

Развернуть
Свернуть
Business2.png

Что вы можете ожидать от нас

  • Более 35 лет опыта в области сертификации систем менеджмента и процессов
  • Опытные в отрасли аудиторы и эксперты с глубокими техническими знаниями
  • Ценные результаты обработки данных о вашей компании
  • Сертификаты с международным признанием
  • Экспертиза и аккредитация по всем соответствующим стандартам
  • Персональная, бесперебойная поддержка со стороны наших специалистов - на региональном, национальном и международном уровнях
  • Индивидуальные предложения с гибкими условиями контракта и без скрытых затрат

Запрос предложения

Ваш местный контакт

"Мы будем рады предоставить вам индивидуальное предложение по сертификации вашей СУИБ на соответствие стандарту ISO 27001".

Ваш запрос

Есть вопросы?

Мы всегда к вашим услугам.
Связаться с нами