Інформаційна безпека за допомогою системи
Наочна безпека даних та інформації
Безпека як частина корпоративної культури
Ефективне впровадження процесу ризик-менеджменту
Постійне підвищення рівня безпеки
Що таке ISO 27001?
Інформація оточує нас всюди і є частиною кожного процесу. Іноді це може бути незначущим, але дуже часто це критично й конфіденційно. Щоб скористатися цією важливою відмінністю для вашої організації, необхідно класифікувати інформацію. Це пояснюється тим, що захисні заходи системи управління інформаційною безпекою (СУІБ - ISMS) відповідно до ISO/IEC 27001 засновані на цій класифікації.
СУІБ створює основу для захисту оперативних даних та їх конфіденційності. Водночас визнаний у світі стандарт забезпечує доступність ІТ-систем, задіяних у корпоративних процесах. У цьому контексті сертифікація ISO 27001 посилає сильний сигнал ринку: а саме незалежну зовнішню оцінку та підтвердження ефективності вашої СУІБ.
З EN ISO/IEC 27001:2017-06 була опублікована версія, координована Європейським комітетом стандартизації (CEN). Вона поєднує два виправлення (корригенди) Cor 1:2014 та Cor 2:2015. Зміни, пов’язані з виправленням, включають лише покращений опис пов’язаних вимог, але не містять нових додаткових вимог. Таким чином, сертифікати відповідно до версії ISO/IEC 27001:2013 зберігають свою дію.
Кому підходить сертифікація за стандартом ISO 27001?
У Німеччині, наприклад, компанії, які належать до сектору критичної інфраструктури (KRITIS) і перевищують поріг, повинні надати докази того, як вони забезпечують свою інформаційну безпеку. Сектори KRITIS включають енергетику, воду, охорону здоров'я, фінанси та страхування, харчування, транспорт і рух, інформаційні технології та телекомунікації. Відповідне підтвердження впровадження може бути надане аудитом безпеки, випробуванням або сертифікацією. Для цього в якості основи для аудиту можна використовувати визнані стандарти, наприклад ISO 27001, або галузеві стандарти безпеки, визнані Федеральним відомством інформаційної безпеки Німеччини (BSI).
Чим корисний стандарт ISO 27001 для моєї компанії?
Особливо цінним для практики є виконання заходів, наведених у додатку А стандарту. На додаток до розділу вимог, орієнтованих на систему менеджменту (глави з 4 по 10), стандарт ISO містить розширений список із 35 цільових показників (контроль) із 114 конкретними заходами для широкого спектру аспектів безпеки в 14 розділах додатка А. Заходи мають здійснюватися в рамках системи управління. Ці заходи необхідно впроваджувати як частину системи управління, оскільки вони мають відношення до вашої компанії.
Було доведено, що послідовне узгодження процесів компанії з ISO 27001 дає ряд переваг:
- Постійне підвищення рівня безпеки
- Зменшення існуючих ризиків
- Дотримання вимог відповідності
- Підвищена обізнаність працівників
- Підвищена задоволеність клієнтів
Внутрішні аудити та перевірки керівництва за участю вищого керівництва — це внутрішні важелі для досягнення цього.
Іншими позитивними моментами є те, що зміцнюється рівень довіри до вашої компанії з боку зацікавлених сторін, таких як органи нагляду, страхові компанії, банки, компанії-партнери. Це пояснюється тим, що сертифікована система управління сигналізує про те, що ваша організація справляється з ризиками у структурований спосіб і підтримує постійне вдосконалення (CIP - continuous improvement), що робить її більш стійкою до небажаних впливів.
Міжнародний стандарт ISO/IEC 27001 також може бути запроваджений, експлуатований та сертифікований незалежно від інших систем управління, таких як ISO 9001 (менеджмент якості) або ISO 14001 (управління навколишнім середовищем).
Хто має право проводити сертифікацію відповідно до ISO 27001?
Крім того, ISO/IEC 27006 визначає суворі вимоги, яким повинні відповідати органи сертифікації, щоб сертифікувати СУІБ відповідно до ISO 27001.
До них належать:
- Докази зазначених зусиль аудиту
- Вимоги до кваліфікації аудиторів
DQS акредитована національним німецьким органом з акредитації DakkS (Deutsche Akkreditierungsstelle GmbH) і тому уповноважена проводити аудит та сертифікацію відповідно до ISO 27001.
Незалежно від галузі, в якій працює ваша компанія, ви можете покладатися на відмінний досвід аудиторів DQS. Вони мають багаторічний досвід оцінки систем управління інформаційною безпекою в різних галузях.
Як працює сертифікація ISO 27001?
Після виконання всіх вимог ISO 27001 ви можете отримати сертифікацію системи управління. Ви пройдете багатоетапний процес сертифікації в DQS. Якщо в компанії вже створена сертифікована система управління, процес можна скоротити.
На першому кроці ви обговорюєте з нами свою компанію та цілі сертифікації ISO 27001. На основі цього ви отримаєте детальну пропозицію з урахуванням індивідуальних потреб вашої компанії.
Зустріч з планування проекту може бути корисною для великих проектів, наприклад, для кращої координації графіків і виконання аудитів у кількох місцях або підрозділах. Попередній аудит дає вам можливість заздалегідь визначити сильні сторони та потенціал для покращення вашої системи управління. Обидві послуги є необов’язковими.
Сертифікаційний аудит починається з системного аналізу та оцінки вашої СУІБ (етап аудиту 1). Тут ваш аудитор визначає, чи достатньо розвинена ваша система управління та чи готова вона до сертифікації. На наступному кроці (етап аудиту 2) ваш аудитор оцінює ефективність усіх процесів управління на місці, застосовуючи стандарт ISO 27001. Результат аудиту представляється на підсумковому засіданні. При необхідності узгоджуються плани дій.
Після сертифікаційного аудиту результати оцінюються незалежною сертифікаційною радою DQS. Якщо всі вимоги стандарту будуть дотримані, ви отримаєте сертифікат ISO 27001.
Після успішної сертифікації ключові компоненти вашої СУІБ перевіряються на місці принаймні раз на рік для забезпечення постійного вдосконалення.
Сертифікат ISO 27001 дійсний максимум три роки. Повторна сертифікація проводиться завчасно до закінчення терміну дії, щоб забезпечити постійну відповідність застосовним вимогам стандарту. Після відповідності видається новий сертифікат.
Скільки коштує сертифікація ISO 27001?
Витрати на сертифікацію відповідно до ISO 27001 встановлюються відповідно до наступних чотирьох критеріїв:
1. Складність вашої системи управління інформаційною безпекою
Враховуються критичні цінності (наприклад, патенти, персональні дані, засоби, процеси) вашої компанії. Вартість сертифікації в першу чергу залежить від вимог інформаційної безпеки та ступеня впливу на конфіденційність, цілісність та доступність (CIA - confidentiality, integrity and availability) інформації.
2. Основна діяльність вашої компанії в рамках СУІБ
На цьому етапі ризики, зокрема пов’язані з вашими бізнес-процесами, відіграють важливу роль у визначенні необхідних заходів аудиту. Враховуються вимоги законодавства, а також складні індивідуальні вимоги замовника.
3. Основні технології та компоненти, які використовуються у вашій СУІБ
Під час аудиту перевіряються технологія, а також окремі компоненти вашої СУІБ. До них належать ІТ-платформи, сервери, бази даних, програми, а також сегменти мережі. Основне правило тут таке: чим вища частка стандартних систем і менша складність вашої ІТ, тим менші зусилля. Від цього також залежать витрати на сертифікацію ISO 27001.
4. Частка внутрішніх розробок у вашій СУІБ
Якщо внутрішніх розробок у вашій СУІБ немає і ви переважно використовуєте стандартизовані програмні платформи, зусилля для оцінки менші. Якщо ваша СУІБ характеризується інтенсивним використанням програмного забезпечення власної розробки і якщо це програмне забезпечення використовується для центральних бізнес-сфер, зусилля для сертифікації будуть більшими.
Щоб ми могли надати вам огляд витрат на сертифікацію СУІБ, нам заздалегідь потрібна точна інформація про вашу бізнес-модель і область застосування. Таким чином ми можемо надати вам індивідуальну пропозицію.
Що ви можете очікувати від нас
Новий стандарт ISO/IEC 27001:2022 - ключові зміни
У цій публікації блогу DQS ви знайдете найважливішу інформацію про ключові зміни та доповнення до переглянутого стандарту ISO 27001:2022.