РАССЧИТАЙТЕ СТОИМОСТЬ УСЛУГИ:

Сертификат ГОСТ Р ИСО/МЭК 27001-2006

 

Под безопасностью информации понимается ее состояние конфиденциальности, защищенности от несанкционированного доступа, устранение или минимизация рисков и неблагоприятных последствий. Использовать правила безопасности обязаны частные и государственные структуры, так как все они являются участниками системы информационного обмена. Для подтверждения, что система менеджмента информационной безопасности (СМИБ) отвечает всем критериям защищенности и надежности. ее можно сертифицировать по ГОСТ Р ИСО/МЭК 27001-2006.

Использовать сертификат соответствия МЭК можно по собственному усмотрению, так как эта проверка носит добровольный характер. Ссылаться на результаты проверки можно при проведении рекламных акций, поиске контрагентов и инвесторов, заключении контрактов на обслуживание баз данных. Также пройденная сертификация существенно повышает конкурентоспособность услуг компании, ее деловую репутацию.

Правила и этапы сертификации

До обращения на сертификацию, предприятию нужно выполнить ряд мероприятий в соответствие со стандартом ГОСТ 27001-2006. В этот перечень входит:

  • идентифицировать все активы, определить для них возможные риски и уязвимости;
  • оценить показатели рисков и последствий, в зависимости от особенностей и вида бизнеса;
  • утвердить политику СМИБ в локальных актах;
  • разработать и внедрить комплекс мер по предотвращению рисков в сфере информационной безопасности, устранению их последствий;
  • определить ответственных лиц за всех этапы работы со сведениями, документацией и базами данных, разграничить их полномочия и компетенцию в принятии решений;
  • внедрить и использовать технические устройства и программное обеспечение для защиты данных.

Помимо разработки документации, предприятие должно убедиться в надлежащей компетенции, уровне профессиональной подготовки, навыках и знаниях персонала. Все оборудование, предназначенное для работы с информацией и базами данных, должно быть сертифицировано, иметь необходимые разрешения ФСБ, Минкомсвязи, иных уполномоченных ведомств.

Сертификат ИСО 27001 выдается по итогам инспекционного аудита. Его проведет комиссия, созданная аккредитованным центром по заявке заказчика. Чтобы определить готовность к сертификации, проводится предварительный аудит. По его результатам компания может устранить выявленные замечания, внести необходимые корректировки в документы и меры защиты.

Основной процесс сертификации предусматривает следующие мероприятия:

  • анализ локальной документации, разработанной под стандарт ИСО и собственную политику СМИБ;
  • изучение описания рисков и уязвимостей, мер по их предотвращению, минимизации и устранению;
  • изучение процессов взаимодействия структурных подразделений и отдельных сотрудников при работе с охраняемыми сведениями, алгоритмов получения, хранения, обработки и предоставления доступа к данным;
  • проверка разрешений, согласований и лицензий, которые должны быть на специальное оборудование, серверы, устройства;
  • оценка квалификации и уровня профподготовки персонала, наличия необходимых допусков к работе с защищенной информацией;
  • анализ системы мониторинга за состоянием защищенности и конфиденциальности, контроля за безопасностью работы со сведениями;
  • проверка материалов, ранее полученных по мероприятиям контрольных и надзорных государственных ведомств;
  • изучение процессов взаимодействия с клиентами, отработке их замечаний, жалоб и предложений;
  • анализ мер по защите от несанкционированного доступа к охраняемым документам и информации, распознаванию систем идентификации и распознавания личности.

Точный перечень проверок и мероприятий зависит от особенностей и сферы деятельности компании, количества персонала, категорий документации и сведений.

По результатам инспекционного аудита оформляется комиссионный акт. Если СМИБ соответствует нормативным значениям стандарта, принимается решение о выдаче сертификата. Срок действия документа составит 1 или 3 года. Одновременно заказчику передаются иные документы, оформленные в ходе сертификационной процедуры – акты, заключения, отчеты, протоколы. Их можно использовать в текущей деятельности для улучшения системы контроля за безопасностью.

В период действия разрешительного бланка компания будет проводить регулярный контроль. Его целью является подтверждение, что требования ГОСТ Р ИСО/МЭК 27001-2006 соблюдаются, а организация предпринимает все необходимые меры для защиты сведений. Если же контроль выявит недостатки, их нужно устранить.

Перечень необходимых документов

Чтобы получить сертификат ISO 27001, нужно подать заявку в центр, передать комплект обязательных бумаг. В перечень входят:

  • регистрационная, учредительная документация юридического лица или предпринимателя;
  • локальные акты, разработанные во исполнение требований ГОСТ – политики СМИБ, инструкции, регламенты, положения, приказы;
  • отчеты по оценке рисков, список мер по их предотвращению и устранению;
  • учетные записи и положения о применимости;
  • аттестаты, свидетельства, дипломы, должностные инструкции и иные документы на персонал;
  • договоры со сторонними организациями, контрагентами, и клиентами;
  • разрешительные бланки на оборудование, программное обеспечение.

Специалисты центра окажут содействие в подготовке документации, приведению ее в соответствие с требованиями ИСО.

Подробную информацию о порядке, сроках и стоимости сертификационных процедур по ISO 27001 вы можете получить у наших специалистов. Звоните, консультации по всем возникшим вопросам бесплатны!

 

Часто задаваемые вопросы

Что такое система менеджмента информационной безопасности?

 

Ознакомиться с официальными понятиями и определениями в сфере стандартизации информационной безопасности можно в ГОСТ 27001-2006, иных нормативных актах. Для целей предстоящей сертификации расскажем о них простыми словами. СМИБ – это комплекс решений и действий, обеспечивающих защиту сведений, баз данных, документации, иных ценных активов бизнеса или государственных структур. Обязательным требованием для любой системы менеджмента является контроль за деятельностью, оказываемыми услугами или выпускаемой продукции.

Система менеджмента есть на любом предприятии, даже если владелец бизнеса или предприниматель не указал на это в документах. Чтобы получить официальный документ, что СМК соответствует стандартизированным правилам, организации нужно:

  • разработать и утвердить документацию в соответствие с выбранным стандартом;
  • провести комплекс мер по внедрению стандартизированных правил;
  • пройти официальную оценку соответствия (сертификацию) по показателям, указанным в ГОСТ ИСО;
  • предпринимать меры по улучшению показателей безопасности после прохождения сертификации, подтверждать их в ходе инспекционного контроля.

Перечисленные мероприятия должны быть соблюдены и для получения сертификата МЭК 27001-2006. Общие требования для оценки соответствия СМИБ совпадают с базовыми сводами правил ISO, однако предусматривают и ряд специальных нюансов.

 

Кому нужен сертификат ГОСТ Р ИСО/МЭК 27001-2006 и где он применяется?

 

Сертификат ISO 27001 может получить любая компания, госструктура или предприниматель, даже если их сфера деятельности не связана с информационными технологиями. Однако именно для фирм и учреждений, напрямую работающих с IT, базами данных и обменом информацией, сертификат МЭК является одним из основных документов для успешного ведения бизнеса. Обычно проверку заказывают:

  • финансовые структуры, банки, страховые и инвестиционные компании;
  • операторы связи, провайдеры, владельцы серверного и специализированного IT оборудования;
  • операторы персональных данных, в том числе медицинские, образовательные учреждения;
  • иные субъекты, для которых конфиденциальность информации имеет первоочередное значение.

Внедрив и используя правила ИСО 27001, предприятие снижает риск утечки данных или кражи информации, устраняет иные негативные последствия.

 

Наши клиенты:
  • «Благодарим за качественное выполнение работ по проведению сертификации нашей продукции, за добросовестное отношение и оперативность»

  • «Благодарим за плодотворное сотрудничество, индивидуальный подход, оперативность, грамотность при выполнении работ»

  • «За отличную работу»

  • «Благодарность от Рустон.»

Наверх