Офіційне представництво концерну TÜV Austria на території України.

icon
04053, Київ,
посп. Берестейський 62-Б Дивитись на карті
icon
Тел.: +380 50 41 96 912 Факс: 380 44 344 9526
Написати до нас
Контакти
ISO 27001 СИСТЕМА МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

ISO 27001 СИСТЕМА МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Надіслати запит

Що таке ISO 27001?

Цифрова трансформація, що швидко розвивається, несе в собі як можливості, так і ризики, особливо в секторі інформаційних технологій. Ризики включають гострі загрози, такі як хакерські атаки, глобальні вірусні атаки, непередбачувані втрати даних та загальне зловживання конфіденційною інформацією, яка є основою важливих бізнес-операцій. Ці сценарії можуть становити серйозну загрозу для операційних ІТ-процесів і, в гіршому випадку, навіть призвести до зупинки бізнесу. ISO 27001 – єдиний міжнародний стандарт інформаційної безпеки, який забезпечує систематичний та структурований підхід, що допомагає виявляти та мінімізувати ці ризики.

ISO 27001:2022 — це міжнародний стандарт, який забезпечує основу для систем управління інформаційною безпекою (СУІБ) для забезпечення постійної конфіденційності, цілісності та доступності інформації, а також відповідності законодавству. Сертифікація ISO 27001 необхідна для захисту ваших найважливіших активів, таких як інформація про співробітників і клієнтів, імідж бренду та інша особиста інформація. Стандарт ISO включає процесний підхід до ініціювання, впровадження, експлуатації та підтримки вашої СУІБ.

Впровадження ISO 27001 є ідеальною відповіддю на вимоги клієнтів і законодавчих вимог та потенційні загрози безпеці, зокрема: кіберзлочинність, порушення персональних даних, вандалізм/тероризм, пожежа/пошкодження, неправильне використання, крадіжка та вірусні атаки.

Стандарт ISO 27001 також структуровано таким чином, щоб бути сумісним з іншими стандартами систем управління, такими як ISO 9001, ISO 14001 та ISO 50001, і є нейтральним щодо технології та постачальника, що означає, що він повністю не залежить від будь-якої ІТ-платформи. Таким чином, усі члени компанії повинні знати, що означає стандарт і як він застосовується в усій організації. 

Отримання акредитованої сертифікації ISO 27001 свідчить про те, що ваша компанія прагне дотримуватися найкращих практик інформаційної безпеки. Крім того, сертифікація ISO 27001 надає вам експертну оцінку того, чи належним чином захищена інформація вашої організації. Читайте далі, щоб дізнатися більше про переваги сертифікації ISO 27001.

Використовуючи сімейство стандартів СМІБ (системи управління інформаційною безпекою), організації можуть розробляти та впроваджувати структуру для управління безпекою своїх інформаційних активів, включаючи фінансову інформацію, інтелектуальну власність та відомості про співробітників або інформацію, довірену їм клієнтами або третіми сторонами. Ці стандарти також можуть бути використані для підготовки до незалежної оцінки їх СМІБ, які застосовуються для захисту інформації.

Переваги сертифікації ISO 27001

  • Сертифікація ISO 27001 підвищує безпеку даних у вашій компанії. Цей стандарт активно сприяє захисту ваших конфіденційних даних від зловмисного доступу, втрати даних та атак хакерів. Він також забезпечує швидке відновлення після будь-яких подібних атак.
  • Його структурована та всесвітньо визнана система управління інформаційною безпекою допомагає своєчасно виявляти неминучі загрози та систематично їх знижувати.
  • ISO 27001 дозволяє вам відповідати зовнішнім вимогам та підвищувати довіру до Вас як надійного партнера. Ця система управління інформаційною безпекою враховує три цілі захисту інформації: конфіденційність, доступність та цілісність.
  • Сертифікація використовується для безперервного аналізу поточної оперативної ситуації і, при необхідності, може бути оптимізована та адаптована до цільової ситуації у будь-який час. Це призводить до постійного вдосконалення внутрішніх процесів.
  • Комплексний підхід системи управління гарантує, що стандарт реалізується на практиці і може бути легко інтегрований у повсякденну роботу. Також потрібна відповідальність керівництва, регулярні навчання та внутрішній аудит.

Порядок сертифікації ISO 27001

1. Брифінг

Ми пояснимо процедуру отримання сертифікату під час необов’язкової та безкоштовної зустрічі. Серед питань, які будуть роз’яснені на цій зустрічі, є:

  • Основні вимоги до вашої сертифікації
  • Цілі та переваги сертифікації
  • Порівняння бізнес-даних і визначення сфери сертифікації
  • Обговорення ваших конкретних потреб і побажань
  • Визначення наступних кроків, необхідних для сертифікації

Після цього ви отримаєте індивідуальну пропозицію, адаптовану до вашої організації на основі цього брифінгу.

2. Введення в експлуатацію

Якщо наша пропозиція отримає ваше схвалення, сертифікаційний орган отримує доручення. Після того, як ви отримаєте підтвердження свого замовлення, процес сертифікації починається зі спільного узгодження графіка з відповідальним(ими) аудитором(ами).

3. Попередній аудит ISO 27001 (необов’язково)

Попередній аудит може бути проведений за запитом. Однак це не обов’язкова вимога для сертифікації.
Або конкретні сфери та/або процеси, або загальна ситуація у вашій організації буде перевірено на основі спільно визначеної структури. Будь-які слабкі місця в документації та реалізації системи будуть виявлені тут. Попередній аудит може надати вам звіт про стан базової придатності для сертифікації, детальну експертизу окремих процесів або відповідність окремим вимогам відповідного стандарту за запитом. Таким чином, метод аудиту відповідає методу сертифікаційного аудиту.

4. Сертифікаційний аудит 1-го рівня

Аудит рівня 1 служить для того, щоб визначити, чи ви підходите для сертифікації. Оцінюються конкретні умови розташування та збирається будь-яка необхідна інформація щодо обсягу. Аудит рівня 1 в основному стосується таких основних моментів:

  • Перевірка документації на відповідність і повноту вимогам стандарту.
  • Статус впровадження системи менеджменту в компанії: чи дозволяє існуюче керівництво та рівень впровадження системи менеджменту в організації провести сертифікацію в принципі, чи відсутні будь-які важливі деталі?
    Перед виконанням аудиту рівня 2 план аудиту для фактичного сертифікаційного аудиту буде складено на основі отриманих знань про вашу організацію та систему управління та спільно погоджено з вами.

5. Сертифікаційний аудит 2-го рівня

Під час аудиту 2-го рівня буде перевірено ефективність системи менеджменту, яка діє у вашій компанії. Вибіркові перевірки будуть проведені щодо всіх вимог у відділах і організаційних підрозділах, а також уздовж технологічного ланцюга.

Цей аудит базується на:

  • План аудиту
  • Відповідний стандарт сертифікації та/або окремі стандартні вимоги, зазначені в ньому
  • Спеціальні документи організації
  • Загальні та галузеві принципи (закони, додаткові, галузеві, необхідні стандарти,…)

Після аналізу та оцінки результатів ви будете проінформовані про результати аудиту та будь-які недоліки чи відхилення під час остаточного перегляду. У разі виявлення недоліків будуть визначені коригувальні заходи. Згодом аналіз першопричини та будь-які конкретні задокументовані заходи ще раз перевірятимуть аудиторська група.

6. Сертифікат TÜV AUSTRIA

Фактична сертифікація буде видана органом сертифікації TÜV AUSTRIA після успішного аудиту та звітності на основі аудиторського звіту. За умови виконання наступних вимог сертифікації немає причин, чому сертифікат не повинен бути виданий:

  • Документування та впровадження системи менеджменту
  • Угода про сертифікацію (підтвердження сертифікаційної пропозиції, регламенту сертифікації та T&Cs)
  • Позитивний результат аудиту, а отже, відповідна рекомендація вашої аудиторської групи органу сертифікації

Сертифікат видається терміном на 3 роки. Для того, щоб сертифікат був дійсний протягом усього терміну його дії, необхідно щорічно проводити контрольний аудит з позитивним результатом (через 12 і 24 місяці після видачі сертифіката).

7. Наглядові аудити ISO 27001

Щорічний наглядовий аудит перевіряє ефективність і подальший розвиток системи менеджменту шляхом випадкової вибірки. Наглядові аудити коротші за звичайний аудит і охоплюють недоліки, виявлені під час останнього аудиту, а також різні ключові моменти вимог стандарту.

8. Повторний сертифікаційний аудит ISO 27001

Його необхідно провести до того, як сертифікат стане недійсним (зазвичай через три роки). Під час повторного сертифікаційного аудиту (часто його також називають повторним аудитом) усі вимоги перевіряються випадковим чином, як і для сертифікаційного аудиту. Зусилля, витрачені на цей повторний сертифікаційний аудит, менші, ніж на початкову сертифікацію (приблизно 2/3 часу, необхідного для первинного сертифікаційного аудиту).

Після позитивного рішення щодо сертифікації буде видано новий сертифікат, дійсний ще на три роки, який також має бути підтверджено щорічним наглядовим аудитом.


СЕРТИФІКАТ TÜV AUSTRIA:
Сертифікат буде виданий органом сертифікації TÜV AUSTRIA після успішного аудиту на основі аудиторського звіту. Сертифікат видається терміном три роки. Для збереження дійсності сертифіката протягом усього терміну його дії необхідно проходити щорічний наглядовий аудит із позитивним результатом.

Вимоги ISO 27001

ISO 27001 вимагає від організацій прийняти набір практик і процедур, які разом становлять всеосяжну систему менеджменту інформаційної безпеки. Це ключові вимоги, підкреслені стандартом, яким повинні відповідати організації для впровадження своєї системи менеджменту.

1

КОНТЕКСТ ОРГАНІЗАЦІЇ

По-перше, організації повинні розуміти свій контекст щодо стандарту. Вони повинні визнавати всі внутрішні фактори, а також зовнішні проблеми, які або впливають на мету, або впливають на цілі, які повинні бути досягнуті системою менеджменту інформаційної безпеки. Фактори також включають очікування або потреби різних зацікавлених органів організації. Розуміння контексту допомагає у встановленні структури та її реалізації.

2

Лідерство

Ця вимога підкреслює важливу роль вищого керівництва у впровадженні та підтримці системи менеджменту інформаційної безпеки. Їх участь гарантує, що система отримає певний напрямок у вашій організації, а співробітники стануть відповідальними за її ефективність. Вони визначать політику, набір цілей і повідомлять про конкретні обов’язки співробітників.

3

Планування

У цьому розділі підкреслюється необхідність оцінки поточної системи організації та потенційних ризиків для визначення цілей системи менеджменту інформаційної безпеки. Ця вимога також потребує аналізу ключових взаємодій вашої організації, а також юридичних зобов’язань.

4

Ресурсна підтримка

Ця вимога означає, що ваша організація повинна мати всі ресурси, необхідні для впровадження, підтримки та вдосконалення. Ресурси також включають комунікацію, обізнаність, компетентність співробітників і задокументовану інформацію.

5

Процеси

Цей розділ закликає організації визначати, впроваджувати та вдосконалювати процеси та практики, необхідні для досягнення мети. Він також включає прийняття рішень щодо дій щодо реагування на надзвичайні ситуації.

6

Оцінка продуктивності

Виконання цієї вимоги гарантує, що ваша система менеджменту інформаційної безпеки працює ефективно та допомагає вашій організації просуватися до запропонованих цілей. Щоб оцінити продуктивність системи менеджменту, ваша організація повинна контролювати процеси, щоб визначити, чи
потребує покращення якийсь із її аспектів.

7

Постійне вдосконалення

Система менеджменту інформаційної безпеки також періодично переглядається для виявлення проблем невідповідності та будь-яких інших недоліків, щоб ви могли вжити коригувальних дій для їх вирішення. Постійна перевірка відповідності гарантує її покращення в довгостроковій перспективі.

Заявка на сертифікацію
Отримати консультацію