Сертификация ISO/IEC 27001:2022 – Система Менеджмента Информационной Безопасности

1. Брифинг

Мы объясним процедуру получения сертификата во время необязательной и бесплатной встречи. Среди вопросов, разъясненных на этой встрече, есть:

• Основные требования к вашей сертификации
• Цели и преимущества сертификации
• Сравнение бизнес-данных и определение сферы сертификации
• Обсуждение ваших конкретных потребностей и пожеланий
• Определение следующих шагов, необходимых для сертификации

После этого вы получите индивидуальное предложение, адаптированное к вашей организации на основе этого брифинга.

2. Ввод в эксплуатацию

Если наше предложение получит ваше одобрение, сертификационный орган получает поручение. После того, как вы получите подтверждение своего заказа, процесс сертификации начинается с совместного согласования графика с ответственным аудитором..

3. Предварительный аудит ISO 27001 (необязательно)

Предварительный аудит может быть произведен по запросу. Однако это не является обязательным требованием для сертификации.
Либо конкретные сферы и/или процессы, либо общая ситуация в вашей организации будет проверена на основе совместно определенной структуры. Любые слабые места в документации и реализации системы будут обнаружены здесь. Предварительный аудит может предоставить вам отчет о состоянии базовой пригодности для сертификации, подробную экспертизу отдельных процессов или соответствие отдельным требованиям соответствующего стандарта по запросу. Таким образом, метод аудита отвечает методу сертификационного аудита.

4. Сертификационный аудит 1-го уровня

Аудит уровня 1 служит для того, чтобы определить, подходите ли вы для сертификации.Оцениваются конкретные условия расположения и собирается любая необходимая информация по объему.Аудит уровня 1 в основном касается следующих основных моментов:

• Проверка документации на соответствие и полноту требованиям эталона.
• Статус внедрения системы менеджмента в компании: позволяет ли существующее руководство и уровень внедрения системы менеджмента в организации провести сертификацию в принципе, отсутствуют ли какие-либо важные детали?
• Перед выполнением аудита уровня 2 план аудита для фактического сертификационного аудита будет составлен на основе полученных знаний о вашей организации и системе управления и совместно согласован с вами.

5. Сертификационный аудит 2-го уровня

В ходе аудита 2-го уровня будет проверена эффективность системы менеджмента, действующей в вашей компании. Выборочные проверки будут проведены по всем требованиям в отделах и организационных подразделениях, а также вдоль технологической цепи.

Этот аудит основан на:

• План аудита
• Соответствующий стандарт сертификации и/или отдельные стандартные требования, указанные в нем
• Специальные документы организации
• Общие и отраслевые принципы (законы, дополнительные, отраслевые, необходимые стандарты…)

После анализа и оценки результатов вы будете проинформированы о результатах аудита и любых недостатках или отклонениях во время окончательного просмотра. В случае обнаружения недостатков будут определены корректирующие меры. Впоследствии анализ первопричины и любые конкретные документированные мероприятия будут еще раз проверяться аудиторской группой.

6. Сертификат TÜV AUSTRIA

Фактическая сертификация будет выдана органом сертификации TÜV AUSTRIA после успешного аудита и отчетности на основе аудиторского отчета. При выполнении следующих требований сертификации нет причин, почему сертификат не должен быть выдан:

• Документирование и внедрение системы менеджмента
• Соглашение о сертификации (подтверждение сертификационного предложения, регламента сертификации и T&Cs)
• Положительный результат аудита, следовательно, соответствующая рекомендация вашей аудиторской группы органа сертификации

Сертификат выдается сроком 3 года. Для того чтобы сертификат был действителен в течение всего срока его действия, необходимо ежегодно проводить контрольный аудит с положительным результатом (через 12 и 24 месяца после выдачи сертификата).

7. Наблюдательные аудиты ISO/IEC 27001:2022

Ежегодный надзорный аудит проверяет эффективность и дальнейшее развитие системы менеджмента путем случайной выборки. Надзорные аудиты короче обычного аудита и охватывают недостатки, выявленные во время последнего аудита, а также различные ключевые моменты требований стандарта.

8. Повторный сертификационный аудит ISO/IEC 27001:2022

Его необходимо провести до того, как сертификат станет недействительным (обычно через три года).При повторном сертификационном аудите (часто его также называют повторным аудитом) все требования проверяются случайным образом, как и для сертификационного аудита. Усилия, потраченные на этот повторный сертификационный аудит, меньше, чем на начальную сертификацию (приблизительно 2/3 времени, необходимого для первичного сертификационного аудита).

После положительного решения по сертификации будет выдан новый сертификат, действительный еще на три года, который также должен быть подтвержден ежегодным наблюдательным аудитом.