«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
- stas@abcgroup.com.ua
Сертифікація ISO 27001: 10 кроків, які працюють
Вступ
У цій статті я покажу вам 10 кроків до сертифікації ISO 27001, які перевірені на практиці.
Ви знаєте, що від вас дедалі частіше будуть вимагати сертифікації ISO 27001. Її популярність зростає.
Можливо, Ви вже певною мірою впровадили інформаційну безпеку, наприклад, запровадили належні технічні засоби контролю, але Ви можете піти далі.
У цій статті розглядається 10 кроків для сертифікації ISO 27001, які Ви можете застосувати до свого бізнесу просто зараз.
1. Згода компанії
Якщо у вас немає підтримки власників компанії та ваших колег, у вас не буде гарної відправної точки для сертифікації ISO 27001.
Це звучить досить просто, але з чого почати? З розмови з людьми, розуміння їхніх проблем та створення спільного бачення, заснованого на вигодах.
Наприклад, Ви можете попросити їх про їхні
· Бачення
· Проблеми
· Больові точки
Якщо метою є збільшення продажів та укладання контрактів, Ви можете поділитися цією інформацією та показати, як збільшення продажів може безпосередньо виграти як для працівника з точки зору заробітної плати та можливостей отримання бонусів, так і для компанії з точки зору ціни акцій, ціни акцій компанії та прибутковості дивідендів.
ЗРОБИ САМ ISO 27001. Звернить увагу на нашому сайті Розділ «Документи ISO 27001»
Нарешті! Впровадьте ISO 27001 самостійно, не витрачаючи ні копійки на консультантів чи програмне забезпечення.
Найповніший інструментарій ISO 27001.
2. Створення політик
Політика інформаційної безпеки завжди була важливою у світі інформаційної безпеки, але для досягнення найкращих результатів вона має бути конкретною.
Наприклад, вони повинні відображати те, чим Ви займаєтесь, і повинні базуватися на найкращих практиках та галузевих стандартах.
Ви можете дослідити існуючі стандарти інформаційної безпеки та скласти власний набір політик інформаційної безпеки або ж придбати перевірений пакет шаблонів політик ISO 27001, які вже написані та готові до використання.
Яким би шляхом Ви не пішли, вам потрібні політики, які визначають, що Ви робите, а не як Ви це робите, і Ви хочете узгодити їх та поширювати їх у всьому бізнесі.
Ви можете дізнатися, як впровадити політики ISO 27001, у цьому простому для зрозумілого посібнику: Як впровадити політику ISO 27001, пункт 5.2, та пройти аудит – спитайте в мене і я Вам підкажу.
3. Побудуйте систему управління інформаційною безпекою
ISO 27001 – це система управління інформаційною безпекою. Стандарт чітко визначає, що потрібно враховувати, але мистецтво полягає в тому, як це зробити.
Ви можете отримати копію стандарту та опрацювати 93 Контроля ISO 27002, а також створити документи та процеси, що відповідають вимогам. Перевага цього полягає в тому, що Ви багато дізнаєтеся про стандарт, недоліком є те, що це займе у вас багато часу, і, найімовірніше, вам або вашим співробітникам також доведеться пройти дороге навчання.
Ви можете придбати надійну систему управління інформаційною безпекою з найповнішим набором інструментів ISO 27001 та заощадити собі понад місяць часу та дорогі витрати на навчання, щоб пришвидшити цей крок.
4. Запишіть бізнес-процеси
Ми можемо бути трохи конкретнішими на цьому кроці. Ви хочете записати процеси щодо інформаційної безпеки, яких вимагає стандарт.
Ви вже будете робити понад 90% того, що потрібно, в одній формі. Вам просто потрібно записати, що Ви робите.
Потім вам потрібно порівняти його з елементами керування Додатку А, щоб побачити, чи є якісь прогалини або необхідні вдосконалення.
Для малих компаній наполегливо рекомендується мати один документ, назвати його «Посібником з операцій інформаційної безпеки», і записувати всі свої процеси там для зручності та простоти.
Не забудьте під час опису бізнес-процесу включити крок винятків. Крок винятків – це той етап процесу, коли щось йде не за планом. Що станеться, якщо процес видасть неочікуваний результат? Запишіть це.
Ви можете дізнатися більше про те, як впровадити інформацію про документи для ISO 27001, у цьому простому для зрозумілого посібнику: Документована інформація ISO 27001
5. Впроваджуйте засоби контролю
Заходи контролю ISO 27001 містяться у Додатку А до ISO 27001. Ви можете ознайомитися з детальним довідником щодо заходів контролю, зазначених у Додатку А до ISO 27001:2002, який точно показує, що вам потрібно робити та як це робити. ДОДАТОК А містить перелік поширених заходів контролю ISO 27001, які компанії повинні враховувати та впроваджувати, якщо це доречно.
Тут немає нічого страшного чи складного.
Перегляньте Додаток А до ISO 27001 та запишіть, що Ви робите для досягнення контрольних показників, і якщо Ви нічого не робите, впровадьте щось. Якщо Ви щось робите, але могли б зробити краще, покращте це.
6. Перевірте себе
Аудит – це акт перевірки того, що щось є таким, яким має бути.
На цьому етапі у вас є політики, система управління інформаційною безпекою, засоби контролю на місці та задокументовані процеси.
Ви вже багато чого досягли. Тепер час перевірити, чи все так, як має бути.
Використовуючи електронну таблицю аудиту ISO 27001, Ви тепер хочете провести аудит. Ви можете прочитати посібник «Як провести внутрішній аудит», щоб дізнатися, як це зробити.
7. Виберіть, хто вас сертифікуватиме
Сертифікацію не може проводити будь-хто.
Компанії, які вас сертифікують, повинні дотримуватися деяких основних правил.
Вони не можуть впровадити або допомогти вам створити чи запустити ISO 27001.
Вони повинні бути акредитовані
Усі вони регулюються щодо способів сертифікації, і хоча вартість буде різною, кінцевий результат однаковий. Вибирайте орган сертифікації з розумом. Ми знаємо всі переваги, недоліки та недоліки. Ви завжди можете звернутися до нас, якщо вам потрібна невелика допомога.
Більшість органів сертифікації використовують незалежних підрядників для проведення сертифікаційних аудиторів.
Щойно у вас буде орган з сертифікації, вони нададуть вам цінову пропозицію та призначать дати сертифікаційного аудиту.
8. Пройдіть сертифікаційний аудит ISO 27001 етапу 1
Сертифікаційний аудит розділений на 2 аудити, які називаються Етап 1 та Етап 2.
Коли йдеться про аудит першого етапу, він буде значною мірою зосереджений на системі управління інформаційною безпекою. Переконайтеся, що всі версії ваших документів та система контролю версій правильні, всі коментарі з документів видалено, документи мають правильну класифікацію та що Ви провели принаймні один внутрішній аудит.
Наявність людей для аудиту значно полегшить процес. Ця частина більше стосується планування та логістики, ніж чогось іншого.
Розслабтеся, Ви наполегливо працювали, щоб дійти до цього моменту. Аудитор не хоче вас підвести. Він на вашому боці.
9. Пройдіть сертифікаційний аудит ISO 27001, етап 2
Аудит другого етапу стосується вас і того, як Ви працюєте. Ця частина процесу називається кроком «Покажи мені».
Крок «Покажи мені» – це етап, на якому аудитор хоче побачити ваші процеси та засоби контролю в дії.
Вони попросять вас увійти в системи, провести їх через кроки, поставити запитання – і все це з метою переконатися, що все працює так, як має бути.
Це речі, які Ви робите щодня. Немає про що турбуватися. Залучіть людей, які виконують цю роботу, і Ви легко впораєтеся.
10. Ви сертифіковані – святкуйте
Ви успішно завершили процес. Аудитор видасть звіт, і якщо Ви його успішно пройшли, він рекомендуватиме вам пройти сертифікацію. Ви отримаєте свій сертифікат через 6-8 тижнів, залежно від того, наскільки добре працює адміністратор.
Що робити, якщо Ви не пройшли?
Якщо Ви не склали, не хвилюйтеся. Більшість органів сертифікації дадуть вам кілька тижнів, щоб виправити те, що не склали, і коли Ви покажете, що Ви це виправили, вони рекомендуватимуть вас для сертифікації.
Тепер, коли Ви маєте уявлення про сертифікацію ISO 27001 та її переваги, давайте перейдемо до 10 кроків, які працюють.
Настав час оновити ваш маркетинг та продажі, щоб показати, що Ви сертифіковані, та розповісти про це світові, своїм клієнтам та потенційним новим клієнтам.
Чи працює сертифікація ISO 27001?
Коротка відповідь — однозначне «Так». Це працює тому, що дедалі більше потенційних клієнтів не підписуватимуть з вами угоду, якщо у вас її немає. Вас би тут не було, якби хтось вас про це не попросив.
Сертифікація ISO 27001 або сам факт наявності сертифікації може збільшити продажі.
Сертифікація ISO 27001 також пропонує багато інших переваг, таких як
Значно менше часу витрачається на заповнення анкет безпеки
Вища задоволеність та впевненість клієнтів
Відмінність від конкурентів
72 відсотки підприємств кажуть, що вони співпрацюють лише з компаніями, сертифікованими за стандартом ISO 27001, і більшість клієнтів очікують, що компанії розумітимуть їхні потреби в інформаційній безпеці.
Короткий посібник з етапів ISO 27001
Необхідний час: 90 днів
10 кроків для отримання сертифікації ISO 27001.
1. Купить стандарти ISO 27001 та ISO 27002
2. На зустрічі домовитися з керівництвом та скласти бюджет для подальших дій. Сертифікація ISO 27001 потребує повної підтримки ради директорів та вищого керівництва.
3. Створення політик
За допомогою Microsoft Word створіть політики ISO 27001. Політики потрібні для визначення того, що потрібно зробити для захисту інформації. Існує 29 основні політики, які необхідні. Створіть свої політики.
4. Побудувати систему управління інформаційною безпекою (СУІБ)
Систему управління інформаційною безпекою потрібно створити та написати, для цього потрібно 27 основних документів ISO 27001. Створіть СУІБ.
5. Побудуйте процеси
Необхідні бізнес-процеси, які документують, як Ви ведете свій бізнес. Якщо це не записано, то це не означає, що це не так. Задокументуйте свої бізнес-процеси.
6. Впроваджуйте засоби контролю
Стандарт ISO 27001 посилається на Додаток A / ISO 27002, який пропонує 93 заходи контролю для всієї компанії, що потребують впровадження. Виберіть відповідні заходи контролю, запишіть їх у Заяву про застосовність та впровадьте.
7. Зробить внутрішній аудит
Внутрішній аудит необхідний на постійній основі та перед проходженням сертифікації. Проведіть аудит політик ISO 27001 , системи управління інформаційною безпекою та 93 заходів контролю Додатку A / ISO 27002 .
8. Оберіть свій орган сертифікації
Сертифікацію проводить акредитований орган сертифікації (наприклад в Англії UKAS). Існує кілька варіантів на вибір.
9. Пройдіть аудит першого етапу
Орган з сертифікації проведе двоетапний аудит, відвідавши вас двічі, щоб перевірити, чи все налагоджено. Етап 1 в основному розглядає систему управління інформаційною безпекою, включаючи політики та документацію.
10. Пройдіть аудит другого етапу
Етап 2 – це ваш другий і останній візит та аудит органом сертифікації. Етап 2 в основному розглядає процеси та ефективне функціонування засобів контролю згідно з Додатком A / ISO 27002. Замовте аудит Етапу 2 та переконайтеся, що Ви можете підтвердити функціонування процесів та засобів контролю. Забезпечте доступність людей за потреби.
11. Сертифікація
Вітаємо! Ви виконали 10 кроків для сертифікації ISO 27001, і вся ця наполеглива праця окупилася, і тепер Ви сертифіковані за ISO 27001. Роздрукуйте свій сертифікат і з гордістю розмістіть його на своєму вебсайті та в маркетингових матеріалах. Тепер Ви відкрили двері до нових комерційних можливостей і клієнтів.
У вас є варіанти сертифікації. Ви можете зробити це самостійно за допомогою шаблонів ISO 27001 або дозволити нам подбати про це за вас .
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков, Мій номер телефону: +380 50 384-21-76, stas@abcgroup.com.ua