«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
Процес сертифікації ISO 27001: чого очікувати та як підготуватися
Отримання сертифікації ISO 27001 може здатися складним, особливо якщо ви робите це вперше. Ви можете задаватися питанням, з чого почати, яких правил дотримуватися або коли ви будете справді готові до перевірки.
Знання етапів отримання сертифікації може зробити цей процес більш плавним та менш стресовим. У цій статті буде описано шлях до сертифікації ISO 27001. Ми розглянемо, що компанії повинні зробити заздалегідь і що відбувається на кожному етапі перевірки сертифікації.
Ось кроки для отримання сертифіката ISO 27001.
1. Сплануйте свій проект
Спочатку визначьтеся, хто у вашій компанії очолить цю роботу. Ця людина ставитиме цілі та стежитиме за процесом. Як ви залучите керівництво вашої компанії? Чи наймете ви експерта для допомоги? Ключовим є ознайомлення з правилами ISO 27001 та його 93 засобами контролю. Наш детальний посібник з ISO 27001 – гарне місце для початку (цій посібник протягом місяця з’явиться в цьому розділі).
2. Визначте сферу застосування вашої інформаційної безпеки
Кожен бізнес відрізняється та обробляє різні види інформації. Перш ніж налаштовувати систему інформаційної безпеки, вам потрібно точно визначити, які дані потрібно захистити. Для деяких компаній це включає все, що вони роблять. Для інших це може бути лише один відділ або система. Ваша команда повинна обговорити, що ви хочете, щоб охоплював ваш сертифікат ISO 27001. Запитайте себе: «Яку послугу, продукт чи платформу наші клієнти найбільше хочуть бачити захищеною нашим сертифікатом ISO 27001?»
3. Оцінка ризиків та пошук прогалин
Ви повинні провести офіційну оцінку ризиків для ISO 27001. Це означає, що вам потрібно записати всю інформацію, аналіз та результати вашої перевірки ризиків. Почніть з роздумів про ваш поточний рівень безпеки. Яких правових норм, положень чи контрактів повинна дотримуватися ваша компанія?
Компанії, які не мають спеціально призначеної особи для управління відповідністю вимогам, можуть найняти експерта для допомоги на цьому етапі. Експерт, який працював з подібними компаніями, може запропонувати цінні поради.. Ці експерти можуть допомогти вам пройти процес ISO 27001, підказавши, які кроки потрібно зробити. Вони також можуть допомогти вам покращити загальну безпеку. Однак через витрати чи інші причини багато компаній вирішують не використовувати зовнішнього експерта
4. Встановіть правила та захист
Тепер, коли ви знаєте свої ризики, вам потрібно вирішити, як ваша компанія буде з ними боротися. Які ризики вас влаштовують, а які потрібно виправити?
Під час перевірки ISO 27001 аудитор захоче побачити, як ви вирішили впоратися з кожним виявленим ризиком. Вам також потрібно буде надати Заяву про застосовність та План обробки ризиків як доказ вашого аудиту.
У Заяві про застосовність чітко пояснюється, які правила та політики ISO 27001 застосовуються до вашої компанії. Цей документ є одним із перших, на що зверне увагу ваш аудитор під час перевірки сертифікації.
План обробки ризиків – це ще один важливий документ для сертифікації ISO 27001. Він фіксує, як ваша організація реагуватиме на загрози, виявлені вами під час процесу оцінки ризиків.
План обробки ризиків – це ще один ключовий документ для сертифікації ISO 27001. Він пояснює, як ваша компанія буде боротися із загрозами, виявленими під час оцінки ризиків.
Стандарт ISO 27001 пропонує чотири способи управління ризиками:
· . Зниження ризику: Впровадьте заходи контролю, щоб зменшити ймовірність виникнення ризику.
· Уникнути ризику: Припиніть ситуації, які можуть спричинити ризик.
· Передача ризику: Дозвольте іншій компанії виконувати деякі завдання безпеки або придбайте страховку, щоб покрити потенційні проблеми.
· Прийняття ризик: вирішіть жити з ризиком, оскільки його виправлення коштуватиме дорожче, ніж можлива шкода
Після цього ви впровадите на практиці нові правила та засоби контролю для боротьби з виявленими вами ризиками. Ваші правила повинні встановити та зміцнити належні звички безпеки. Наприклад, вони можуть вимагати від співробітників використання багатофакторної автентифікації та блокування комп’ютерів, коли вони відходять.
5. Навчайте своїх співробітників
Усі співробітники повинні пройти навчання з інформаційної безпеки згідно Ваших документів по стандарту ISO 27001. Це гарантує, що кожен у вашій компанії розуміє, чому безпека даних важлива, та свою роль у дотриманні правил.
6. Документуйте та збирайте докази
Щоб отримати сертифікацію ISO 27001, вам потрібно буде продемонструвати своєму аудитору, що ви встановили належні політики та засоби контролю, і що вони працюють відповідно до вимог стандарту ISO 27001.
7. Пройдіть аудит сертифікації ISO 27001
На цьому етапі зовнішній аудитор перевірить вашу систему безпеки, щоб підтвердити її відповідність вимогам ISO 27001. Якщо так, він надасть вам сертифікат.
Сертифікаційний аудит відбувається у два етапи. Спочатку аудитор проводить аудит першого етапу, щоб переглянути документи вашої системи безпеки. Це гарантує, що у вас є правильні політики та процедури. Далі, на аудиті другого етапу буде розглянуто ваші бізнес-процеси та засоби контролю безпеки. Після завершення обох етапів ви отримаєте сертифікат ISO 27001, дійсний протягом трьох років.
8. Забезпечуйте постійну відповідність вимогам
Стандарт ISO 27001 спрямований на вдосконалення з часом. Вам потрібно буде постійно перевіряти та переглядати свою систему безпеки, щоб переконатися, що вона все ще добре працює, і що ви підтримуєте відповідність вимогам. У міру того, як ваш бізнес змінюється та з'являються нові ризики, вам потрібно буде шукати способи покращення ваших поточних процесів та засобів контролю. Стандарт ISO 27001 вимагає регулярних внутрішніх аудитів як частини цієї постійної перевірки. Внутрішні або зовнішні аудитори переглядають процеси та політики, щоб виявити можливі слабкі місця та області для вдосконалення перед зовнішнім аудитом.
Процес аудиту сертифікації ISO 27001
Ось розбивка ключових етапів процесу сертифікації ISO 27001:
Аудит ISO 27001 Етап 1: Огляд проекту вашої системи безпеки
Аудитор перегляне документи вашої Системи управління інформаційною безпекою (СУІБ). Він переконається, що ваші правила та процедури налаштовані правильно. Цей етап гарантує, що ваші документи відповідають правилам СУІБ стандарту ISO 27001, викладеним у розділах 4-10. Аудитор також вкаже на будь-які проблеми або способи покращення вашої СУІБ. Після того, як ви додасте ці запропоновані зміни, ви будете готові до Етапу 2.
Аудит ISO 27001 Етап 2: Основний сертифікаційний аудит
Цей крок включає перевірку ваших бізнес-процесів та засобів контролю. Аудитор перевірить, чи відповідають вони потребам вашої СУІБ та додатковим правилам, наведеним у Додатку А. Аудитор проведе детальний огляд, щоб з'ясувати, чи відповідає ваша компанія всім вимогам ISO 27001. Після завершення етапів 1 та 2 вам буде видано сертифікат ISO 27001, дійсний протягом трьох років.
Аудит нагляду ISO 27001
Протягом трьох років дії вашого сертифіката ви проходитимете постійні перевірки. Вони мають переконатися, що ваша програма ISO 27001 все ще працює належним чином та дотримується її. Ці перевірки підтверджують, що ваша компанія належним чином підтримує свою СУІБ та контрольні заходи згідно з Додатком А. Аудитори також перевірять, чи були виправлені будь-які проблеми, виявлені під час основної перевірки сертифікації.
Аудит повторної сертифікації ISO 27001
В останній рік вашої трирічної сертифікації ваша компанія може пройти перевірку для повторної сертифікації. Подібно до другого етапу, аудитор проведе детальний огляд. Він підтвердить, що ваша компанія все ще відповідає правилам ISO 27001 щодо того, як налаштовані ваші процеси та засоби контролю, а також наскільки добре вони працюють. Після цієї перевірки ваша сертифікація ISO 27001 дійсна ще три роки.
Що вам потрібно надати для підтвердження відповідності ISO 27001
Під час перевірки на сертифікацію ISO 27001 аудитору потрібно буде розглянути різні аспекти вашої системи безпеки. Це включає ваші правила, принципи роботи вашого бізнесу та докази того, що ви дотримуєтеся цих правил.
Ось основний список того, що вам потрібно буде надати своєму аудитору:
· Сфера застосування вашої системи інформаційної безпеки: Що охоплює ваша система інформаційної безпеки.
· Правила інформаційної безпеки: Політика вашої компанії щодо захисту інформації.
· Процес оцінки ризиків: Як ви перевіряєте наявність ризиків інформаційної безпеки.
· Процес обробки ризиків: Як ви справляєтеся з цими ризиками.
· Заява про застосовність: Які засоби контролю ISO 27001 застосовуються до вас.
· Цілі інформаційної безпеки: Чого ви прагнете досягти за допомогою своєї безпеки.
· Доказ кваліфікації: Доказ того, що ваші співробітники є компетентними.
· Програма та результати навчання з безпеки: Детальна інформація про ваше навчання з питань безпеки та хто його пройшов.
· Результати оцінки ризиків: Що ви виявили під час перевірки на наявність ризиків.
· Результати обробки ризиків: Як ви впоралися з ризиками.
· Підтвердження моніторингу та вимірювання: Як ви відстежуєте та оцінюєте свої зусилля щодо безпеки.
· Письмовий процес внутрішнього аудиту: Як ви проводите власні перевірки внутрішньої безпеки.
· Підтвердження програм та результатів аудиту: записи ваших внутрішніх аудитів та їх висновки.
· Результати управлінських перевірок: Докази обговорень та рішень, прийнятих керівництвом щодо безпеки.
· Підтвердження проблем та їх виправлення: записи про будь-які виявлені проблеми безпеки та способи їх виправлення.
· Доказ виправлень: Доказ того, що ці виправлення спрацювали.
Додаток А.
Докази діяльності з контролю: Підтвердження того, що ви дотримуєтеся конкретних заходів безпеки, перелічених у Додатку А.
Ось короткий опис вимог для сертифікації ISO 27001:
· План проекту: Спочатку дізнайтеся все про правила ISO 27001 та їх охоплення. Вам також потрібно буде обрати керівника проекту, встановити терміни сертифікації та отримати схвалення від керівників компанії.
· Сфера застосування СУІБ: Далі, визначте, яку саме інформацію має зберігати ваша система безпеки. Що ваші клієнти сподіваються побачити охопленим вашим сертифікатом ISO 27001?
· Перевірка ризиків та аналіз прогалин: Проведіть оцінку ризиків та складіть план усунення будь-яких слабких місць. Це допоможе вам побачити, на якому етапі знаходиться ваша безпека, і що вам ще потрібно зробити до аудиту.
· Правила та засоби контролю: Вирішіть, як ваша компанія буде вирішувати ризики та прогалини, виявлені раніше. Вам також потрібно буде написати Заяву про застосовність та План обробки ризиків.
· Навчання з безпеки: Переконайтеся, що всі ваші співробітники пройшли офіційне навчання з безпеки відповідно до вимог ISO 27001.
· Збір доказів: Запишіть свої процеси та правила. Це покаже вашому аудитору, що ви виконали вимоги ISO 27001.
· Сертифікаційний аудит: Ви пройдете аудит першого етапу, під час якого аудитор перевіряє конструкцію та документацію вашої системи безпеки. Під час аудиту другого етапу аудитор перегляне ваші процеси та засоби контролю, щоб вирішити, чи отримуєте ви сертифікацію ISO 27001.
· Постійна відповідність: Щоб зберегти сертифікацію ISO 27001, вам потрібно буде стежити за своєю системою безпеки та вдосконалювати її. Вам також потрібно буде проходити внутрішні перевірки, регулярні наглядові аудити та аудити для повторної сертифікації.
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков, Мій номер телефону: +380 50 384-21-76, stas@abcgroup.com.ua