Что такое ISO 27001? Окончательное руководство по сертификации

Нарушения информационной безопасности могут быть чрезвычайно опасны для предприятий как с точки зрения финансовых потерь, так и репутационного ущерба.

Внедрение надежной системы безопасности может помочь снизить риски, делая компанию более надежной и авторитетной в глазах потенциальных клиентов, поставщиков и деловых партнеров.

В последние годы было выпущено множество руководств, призванных повысить осведомленность о рисках для информационных систем и сетей.

Вот все, что вам нужно знать об ISO 27001 и руководство по сертификации.

Что такое ISO 27001?
ISO 27001 — это стандарт управления информационной безопасностью, разработанный и регулируемый Международной организацией по стандартизации (ISO), который подтверждает, что организация структурировала свою ИТ-систему для систематической и экономически эффективной защиты информации.

Стандарт ISO 27001 призван обеспечить наличие адекватных средств контроля (в отношении конфиденциальности, целостности и доступности информации) для защиты информации «заинтересованных сторон». К ним относятся ваши клиенты, сотрудники, поставщики и потребности общества в целом.

Почему вам нужна сертификация ISO 27001?
Удержание клиентов: ISMS, соответствующая ISO 27001, может помочь вам продемонстрировать поставщикам и клиентам, что вы серьезно относитесь к информационной безопасности. Это мощная демонстрация приверженности вашей организации эффективному управлению информационной безопасностью.

Соответствие международным стандартам: Помимо обычной коммерческой необходимости защиты конфиденциальной информации, в последнее время в сфере регулирования и корпоративного управления происходят события, которые предъявляют все более высокие требования к целостности информации. Внедрение СУИБ является доказательством вашего соответствия информационной безопасности международным стандартам.

Улучшение конкурентных преимуществ: Сертификация ISO 27001 показывает, что ваша организация серьезно относится к информационной безопасности, и обеспечивает конкурентные преимущества для завоевания нового бизнеса.

8 шагов к сертификации ISO 27001
Внедрение ISO 27001 в вашей организации может оказаться непростой задачей. Но, как говорится, ничто стоящее не достается легко, а ISO 27001 стоит того, чтобы его получить.

Однако, чтобы облегчить вам задачу, — вот список из 8 шагов, кратко описывающих внедрение ISO 27001.

  1. Заручитесь поддержкой руководства
    Если вы внедряете эти процессы впервые, подумайте об общем смысле этих требований к управлению. Высшее руководство в конечном итоге несет ответственность за эффективность системы управления — получение его поддержки имеет решающее значение.
    На разработку, внедрение и мониторинг СУИБ должны быть выделены достаточные ресурсы (люди, оборудование, время и деньги). Внутренние аудиты выявляют возможности для улучшения и проверяют, что система менеджмента работает так, как задумано.
    Анализ со стороны руководства дает возможность высшему руководству оценить и понять, насколько хорошо система менеджмента функционирует и поддерживает бизнес.
  1. Определите сферу действия
    Очень важно точно определить логическую и географическую область применения СУИБ, чтобы можно было определить границы вашей СУИБ и обязанности по обеспечению безопасности.
    Область применения должна определять людей, места и информацию, на которые распространяется действие СУИБ. После определения и документирования сферы действия можно определить информационные активы, на которые распространяется сфера действия, а также их ценность и владельца.
  1. Напишите политику информационной безопасности
    Требования к политике ИСУБ рассматриваются в стандартах ISO 27001 (5.2) и ISO 27002. Ссылки на политику есть и в других требованиях ISO 27001 и в Приложении А, где указано, что должна содержать политика. Например, цели СУИБ должны соответствовать политике СУИБ. Для достижения определенных целей контроля потребуются другие политики.
  1. Установить процесс оценки и управления рисками
    Оценка рисков закладывает основу для ISMS. Она обеспечивает фокус для внедрения средств контроля безопасности и гарантирует, что они применяются там, где они наиболее необходимы, экономически эффективны и, что не менее важно, не применяются там, где они наименее эффективны.
    Процесс оценки рисков включает в себя определение и оценку информационных активов. Эта оценка не является исключительно финансовой. Она также учитывает другие факторы, такие как репутационный ущерб или нарушение нормативно-правового соответствия. Здесь важное влияние оказывает контекст.
    Процесс должен учитывать угрозы и уязвимости, а также любые возможности, связанные с активами и их эксплуатацией. Наконец, вы должны определить уровень риска и определить средства контроля, которые необходимо применить для управления этими рисками.
  1. Внедрение плана обработки рисков
    Оценка риска определяет уровни риска, которые затем сравниваются с приемлемым уровнем риска, определенным политикой безопасности организации. Для управления рисками, которые превышают приемлемый уровень, предпринимаются соответствующие действия, при этом возможными действиями являются: Внедрение средств контроля безопасности, выбранных из Приложения А, для снижения риска до приемлемого уровня.
    Принятие риска в соответствии с политикой руководства и критериями принятия риска.
    Устранение риска путем изменения среды безопасности.
    Передача риска путем принятия соответствующего страхования или передачи управления физическими активами или бизнес-процессами на аутсорсинг.
    План обработки рисков используется для управления рисками путем определения предпринятых и запланированных действий, а также сроков завершения невыполненных действий. План должен определять приоритетность действий, включать обязанности и подробные планы действий.
  2. Реализация программ обучения и повышения осведомленности
    Весь персонал несет ответственность за безопасность информационных систем и сетей. Сотрудники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей, а также о том, что они могут сделать для повышения безопасности. Они должны быть обучены принятию и внедрению всех новых процедур и политик.
  3. Измерение, мониторинг и обзор вашей ИСУБ
    Вы не сможете определить, работает ли ваша СУИБ так, как ожидается, пока не проведете ее мониторинг и обзор. Ежегодно вы должны оценивать и контролировать, соответствуют ли достигнутые цели поставленным задачам или нет.
    Если вы не достигаете целей в соответствии с установленными стандартами, то это указывает на то, что что-то не так, и вам следует внести некоторые исправления, чтобы исправить ситуацию.
    Ответственный персонал должен анализировать и переоценивать безопасность информационных систем и сетей, а также вносить соответствующие изменения в политику, практику, меры и процедуры безопасности.
    Кроме того, необходимо регулярно проводить внутренние аудиты вашей СУИБ.
    Внутренние аудиты могут позволить вам обнаружить несоответствия, которые в противном случае остались бы скрытыми, предотвращая значительные потери в производительности.
    Результаты внутреннего аудита являются исходными данными для анализа со стороны руководства, на основании отчета руководство должно принять ряд важных решений.
  4. Сертификация ИСУП
    После успешного внедрения СУИБ в вашей организации вы можете пройти сертификацию по ISO 27001, в этом случае вам необходимо подготовиться к внешнему аудиту.
    Обычно сертификационные аудиты проводятся в два этапа.
    Первоначальный аудит, проводимый сторонним аудитором, определяет, была ли СУИБ организации разработана в соответствии с требованиями ISO 27001. Если аудитор удовлетворен, он проводит более тщательное расследование.
    Это гарантирует, что проверка действительно соответствует ISO 27001, в отличие от несертифицированных организаций, которые часто обещают предоставить сертификацию независимо от соответствия организации требованиям.
    Конечным результатом такой проверки является либо прохождение, либо провал. В случае положительного результата вы получаете высоко ценимый сертификат, в случае неудачи — вам предстоит работа над несоответствиями, прежде чем вы сможете подать заявку на повторный аудит или специальный обзор несоответствий.
    Сертификация ISO 27001 проводится в течение трехлетнего цикла, поэтому обычно она проходит следующим образом:
    • Этап 1 и 2, затем выдача сертификата.
    • Надзорный аудит 1 (обычно ежегодно или, возможно, чаще).
    • Надзорный аудит 2.
    • Ресертификация на третий год и более детальная оценка.


Где вы должны пройти сертификацию?

Вы должны убедиться, что орган по сертификации, в который вы обратитесь, аккредитован национальным органом по сертификации, который должен быть членом IAF (Международного органа по аккредитации).

IRQS аккредитована Национальным советом по аккредитации органов по сертификации (NABCB) и аккредитационными советами Raad voor Accreditatie (RvA) для сертификации по ISO 27001. Сертификат ISO 27001, выданный NABCB и RvA, принимается везде, где есть член IAF.

Уменьшите риск, которому подвергается ваша компания, и улучшите репутацию вашей компании, сотрудничая с IRQS для подготовки и сертификации по ISO 27001.

Свяжитесь с нами сегодня для получения бесплатного предложения.

Готовы ли вы пройти сертификацию ISO?

Добейтесь мирового признания и увеличьте свои доходы