Сертификат соответствия ИСО/МЭК 27001-2006

Стандарт ИСО 27001 – это международный стандарт, который определяет критерии построения системы менеджмента информационной безопасности (СМИБ). Его использование помогает компаниям разных направлений деятельности обеспечить защиту конфиденциальных данных, наладить контроль рисков. Практическое применение принципов стандарта и сертификация модели управления на предприятии – добровольное решение, которое принимается фирмами в целях оптимизации внутренних бизнес-процессов и повышения своей конкурентоспособности на рынке.

Что такое стандарт ISO 27001?

Международный стандарт регламентирует часть общей системы управления предприятием, которая основана на анализе рисков и применяется для разработки, использования, контроля и постоянного совершенствования мер в области информационной безопасности. Его соблюдение в компании помогает обеспечить сохранность и защиту конфиденциальных данных.

Построение СМИБ охватывает ряд аспектов работы предприятия:

1. Разработка политики информационной безопасности (ИБ).
2. Анализ и предотвращение рисков (например, утечки информации, заражения компьютеров вирусами и т.д.).
3. Управление рисками: распределение задач и ответственности между сотрудниками, установка необходимого ПО, предотвращение неблагоприятных ситуаций.
4. Установка и использование программных средств управления ИБ.
5. Обучение персонала.
6. Регулярный мониторинг эффективности функционирования СМИБ, принятие необходимых мер для повышения достигнутых показателей.

Внедрение СМИБ предполагает управление следующими элементами функционирования фирмы:

• персоналом;
• ресурсами;
• доступом к информации;
• процессами коммуникации и т.д.

Практика показывает, что построение СМИБ наиболее востребовано у фирм, которые работают с большим массивом данных. Это финансовые организации (в том числе банки и страховщики), HR-агентства, IT-компании, компании в сфере здравоохранения и энергетической отрасли, предприятия, которые работают с гостайной.

Отличительная особенность международного стандарта – универсальность. Он подходит для организаций разного географического положения и масштабов деятельности, его принципы можно распространить как на все предприятие, так и на отдельную часть бизнеса.

Основные цели сертификации ИСО 27001

Внедрение и сертификация системы менеджмента, основанной на принципах ИСО 27001, необходимы для решения следующих задач компаний:

1. Получение возможности работать с государственными корпорациями (защита гостайны).
2. Определение целей и принципов работы организации относительно управления данными.
3. Управление информационной безопасностью фирмы согласно требованиям и нормам действующего законодательства.
4. Формирование положительного имиджа организации.
5. Получение конкурентных преимуществ на рынке.
6. Повышение инвестиционной стоимости предприятия и привлечение новых акционеров.
7. Получение преимуществ при участии в закупочных процедурах.
8. Получение возможностей для выхода на международные рынки сбыта.
9. Оформление лицензий, допусков, разрешений в упрощенном порядке.
10. Снижение расходов и недопущение неблагоприятных последствий, которые возникают из-за утечки конфиденциальной информации.

Крупные предприятия, которые работают в разных направлениях и отраслях, вправе провести сертификацию отдельной сферы деятельности, например, механизма обеспечения конфиденциальности личных данных клиентов. Это поможет получить репутационные преимущества, сократив при этом сроки реализации проекта.

В каком порядке проводится сертификация?

Чтобы получить сертификат ИСО 27001, предприниматели обращаются в уполномоченные органы. Эти специализированные организации помогают предприятиям выстроить систему менеджмента, которая основывается на принципах международного стандарта, а затем подтвердить ее соответствие. Работа начинается с бесплатных консультаций, в ходе которых определяется порядок дальнейшей работы, ее цели, сроки проведения и стоимость оказываемых услуг.

Следующий шаг – предоставление пакета необходимой документации, который включает:

• регистрационные свидетельства фирмы;
• карточку компании с реквизитами для заключения договора;
• подробное описание деятельности и организационной структуры компании;
• штатное расписание;
• лицензии на используемые программные продукты;
• приказы о назначении гендиректора и главного бухгалтера.

Следующий этап – анализ бизнес-процессов компании и их оптимизация в соответствии с требованиями ИСО 27001, составление необходимой документации в рамках СМИБ. По итогам проведенной работы, проводится сертификация, которая включает анализ оформленных документов и инспекционный контроль на предприятии.

По итогам оценки заявитель получает сертификат ISO, срок действия которого составляет 3 года. Помимо этого, ему предоставляется право на использование знака соответствия ИСО и сертификаты на внутренних аудиторов.

Остались вопросы? Узнать подробнее о порядке внедрения СМИБ и получить содействие в ходе сертификации можно у экспертов сайта Moseac.