«Благодарим за качественное выполнение работ по проведению сертификации нашей продукции, за добросовестное отношение и оперативность»
Сертификат ГОСТ Р ИСО/МЭК 27001-2006
Под безопасностью информации понимается ее состояние конфиденциальности, защищенности от несанкционированного доступа, устранение или минимизация рисков и неблагоприятных последствий. Использовать правила безопасности обязаны частные и государственные структуры, так как все они являются участниками системы информационного обмена. Для подтверждения, что система менеджмента информационной безопасности (СМИБ) отвечает всем критериям защищенности и надежности. ее можно сертифицировать по ГОСТ Р ИСО/МЭК 27001-2006.
Использовать сертификат соответствия МЭК можно по собственному усмотрению, так как эта проверка носит добровольный характер. Ссылаться на результаты проверки можно при проведении рекламных акций, поиске контрагентов и инвесторов, заключении контрактов на обслуживание баз данных. Также пройденная сертификация существенно повышает конкурентоспособность услуг компании, ее деловую репутацию.
Содержание
Правила и этапы сертификации
До обращения на сертификацию, предприятию нужно выполнить ряд мероприятий в соответствие со стандартом ГОСТ 27001-2006. В этот перечень входит:
- идентифицировать все активы, определить для них возможные риски и уязвимости;
- оценить показатели рисков и последствий, в зависимости от особенностей и вида бизнеса;
- утвердить политику СМИБ в локальных актах;
- разработать и внедрить комплекс мер по предотвращению рисков в сфере информационной безопасности, устранению их последствий;
- определить ответственных лиц за всех этапы работы со сведениями, документацией и базами данных, разграничить их полномочия и компетенцию в принятии решений;
- внедрить и использовать технические устройства и программное обеспечение для защиты данных.
Помимо разработки документации, предприятие должно убедиться в надлежащей компетенции, уровне профессиональной подготовки, навыках и знаниях персонала. Все оборудование, предназначенное для работы с информацией и базами данных, должно быть сертифицировано, иметь необходимые разрешения ФСБ, Минкомсвязи, иных уполномоченных ведомств.
Сертификат ИСО 27001 выдается по итогам инспекционного аудита. Его проведет комиссия, созданная аккредитованным центром по заявке заказчика. Чтобы определить готовность к сертификации, проводится предварительный аудит. По его результатам компания может устранить выявленные замечания, внести необходимые корректировки в документы и меры защиты.
Основной процесс сертификации предусматривает следующие мероприятия:
- анализ локальной документации, разработанной под стандарт ИСО и собственную политику СМИБ;
- изучение описания рисков и уязвимостей, мер по их предотвращению, минимизации и устранению;
- изучение процессов взаимодействия структурных подразделений и отдельных сотрудников при работе с охраняемыми сведениями, алгоритмов получения, хранения, обработки и предоставления доступа к данным;
- проверка разрешений, согласований и лицензий, которые должны быть на специальное оборудование, серверы, устройства;
- оценка квалификации и уровня профподготовки персонала, наличия необходимых допусков к работе с защищенной информацией;
- анализ системы мониторинга за состоянием защищенности и конфиденциальности, контроля за безопасностью работы со сведениями;
- проверка материалов, ранее полученных по мероприятиям контрольных и надзорных государственных ведомств;
- изучение процессов взаимодействия с клиентами, отработке их замечаний, жалоб и предложений;
- анализ мер по защите от несанкционированного доступа к охраняемым документам и информации, распознаванию систем идентификации и распознавания личности.
Точный перечень проверок и мероприятий зависит от особенностей и сферы деятельности компании, количества персонала, категорий документации и сведений.
По результатам инспекционного аудита оформляется комиссионный акт. Если СМИБ соответствует нормативным значениям стандарта, принимается решение о выдаче сертификата. Срок действия документа составит 1 или 3 года. Одновременно заказчику передаются иные документы, оформленные в ходе сертификационной процедуры – акты, заключения, отчеты, протоколы. Их можно использовать в текущей деятельности для улучшения системы контроля за безопасностью.
В период действия разрешительного бланка компания будет проводить регулярный контроль. Его целью является подтверждение, что требования ГОСТ Р ИСО/МЭК 27001-2006 соблюдаются, а организация предпринимает все необходимые меры для защиты сведений. Если же контроль выявит недостатки, их нужно устранить.
Перечень необходимых документов
Чтобы получить сертификат ISO 27001, нужно подать заявку в центр, передать комплект обязательных бумаг. В перечень входят:
- регистрационная, учредительная документация юридического лица или предпринимателя;
- локальные акты, разработанные во исполнение требований ГОСТ – политики СМИБ, инструкции, регламенты, положения, приказы;
- отчеты по оценке рисков, список мер по их предотвращению и устранению;
- учетные записи и положения о применимости;
- аттестаты, свидетельства, дипломы, должностные инструкции и иные документы на персонал;
- договоры со сторонними организациями, контрагентами, и клиентами;
- разрешительные бланки на оборудование, программное обеспечение.
Специалисты центра окажут содействие в подготовке документации, приведению ее в соответствие с требованиями ИСО.
Подробную информацию о порядке, сроках и стоимости сертификационных процедур по ISO 27001 вы можете получить у наших специалистов. Звоните, консультации по всем возникшим вопросам бесплатны!