Сертификат ISO 27001 в Александрове

Преимущества сертификации 

Пройдя сертификацию ISO 27001 компания в Александрове получит ряд преимуществ, таких как:

• Еще на стадии аудита перед сертификацией компания сможет выявить слабые места в информационной безопасности;
• Повышение доверия клиентов (действующих и потенциальных). Так как наличие данного сертификата говорит о том, что в организации налажено эффективное управление информационной безопасностью. Этот фактор также влияет на конкурентоспособность и, выбирая между компаниями - без соответствующего сертификата или с ним, заказчик сделает выбор в пользу последнего. Повышение конкурентоспособности, в свою очередь, повышает уровень дохода компании;
• Компания получит возможность оптимизировать финансовые затраты, связанные с поддержкой системы информационной безопасности;

Клиенты также получают преимущества при работе с компанией, имеющей сертификат ISO 27001:

• Повышение защиты у ключевых бизнес-процессов;
• Уверенность в том, что услуга будет оказана своевременно и в установленном объеме.

Какие компании используют сертификат ISO 27001

Преимущественно, сертификат ISO 27001 используют:

• Финансово-кредитные организации;
• Компании, работающие в области информационных технологий;
• Организации специализирующиеся на подборе персонала;
• Компании работающие с базами данных.

Сертификат ISO 27001  могут использовать и другие компании.

Процедура подготовки к сертификации 

Процедура подготовки к сертификации состоит из 10 этапов:

1. Выбор области деятельности, которую требуется сертифицировать;
2. Набор сотрудников, соответствующих установленным требованиям;
3. Проведение внутреннего аудита компании (это возможно сделать самостоятельно - при наличии соответствующих специалистов либо заключив договор со специализированной компанией);
4. Проведение идентификации ресурсов, входящих в выбранную область деятельности;
5. Определение ценности выбранных ресурсов;
6. Проведение учета возможных рисков;
7. Подготовка пакета документации, требуемого для проведения процедуры сертификации;
8. Внедрение стандартов, положений и т.д.;
9. Повторное проведения внутреннего аудита компании с учетом внесенных изменений;
10.  Подача заявки на проведение сертификационного аудита;

Сертифицирующий орган 

Сертификацию организации осуществляет независимая компания, получившая аккредитацию.

Выбор области деятельности которую требуется сертифицировать

Для выбора области деятельности требуется составить полный перечень бизнес-процессов в компании и выделить из их числа наиболее критичные, связанные с информационной безопасностью. Эти процессы могут быть связаны с личными данными клиентов компании, финансовыми операциями и т.д. Область действия систем информационной безопасности распространяется на следующие ресурсы:

• ПО компании;
• Каналы связи (телефон, интернет);
• Средства предназначенные для хранения и обработки информации;

Срок построения системы информационной безопасности

Время, затрачиваемое на построение систем информационной безопасности зависит от количества сотрудников, имеющихся в штате:

• Если сотрудников в компании менее 4, то, как правило, весь процесс занимает не больше 4 месяцев;
• Если в компании от 10 до 50 работников - до 8 месяцев;
• Когда сотрудников в штате от 50 до 500 - до 1 года;
• В случае, если численность сотрудников превышает 500 - до 1,5 лет.

Набор сотрудников 

Для компании важно собрать подходящую команду, которая бы участвовала  не только на этапе получения требуемого сертификата, но и в дальнейшем.

Количество сотрудников напрямую зависит от размера организации и бизнес-процессов выбранных для сертификации. Но количество работников в штате не должно быть меньше, чем 3 человека.

Сертификационный аудит

После того, как все требуемые действия выполнены, завершающим этапом будет сертификационный аудит. Как правило, аудитора приглашают не ранее, чем через 6 месяцев после построения системы информационной безопасности - это объясняется тем, что компании требуется время для того, чтобы отследить недочеты в системе и, при необходимости, внести корректировки.

Существует 2 варианта проведения сертификационного аудита:

1. Сертификационный аудит в сочетании с предварительным;
2. Сертификационный аудит.

Сертификационный аудит в сочетании с предварительным

Если компания выбрала сочетание сертификационного и предварительного аудита, то если при проведении предварительного аудита будут выявлены недостатки у компании будет возможность их исправить. Согласно регламенту между предварительным аудитом и сертификационным должно пройти не менее 1 месяца. Такой вариант выбирают компании, которые сомневаются, что система налажена безупречно.

Сертификационный аудит

Если компания уверена в своих силах и хочет сэкономить время, то останавливает свой выбор на сертификационном аудите без проведения предварительных проверок.

Стоимость

Финансовые затраты, которые понесет компания, возможно будет вычислить после проведения оценки степени риска - именно поэтому заранее спрогонзировать этот пункт, без помощи профессионалов, не получится.

Срок действия сертификата

Сертификат ISO 27001 действует в течение 3 лет с момента выдачи. После чего компании будет необходимо его переоформить. Ежегодно компании, получившей сертификат, требуется проходить процедуру инспекционного контроля. Инспекционный контроль производит орган, осуществлявший выдачу сертификата.

Основные ошибки при сертификации 

Существует ряд ошибок, совершаемых компанией при подготовке к сертификации:

1. Приведение в соответствие только документации

Многие компании ошибочно полагают, что для сертификации им достаточно будет подготовить требуемый пакет документации. Важно помнить, что для соответствия ISO 27001 компании требуется внедрить технические и организационные меры, а также вести непрерывную работу по развитию систем безопасности.

1. Работа по приведению систем в соответствии со стандартом без составления предварительного плана

Без составления плана у компании не может сложиться полной картины и, следовательно, не будет возможности оценить какие ресурсы и в каком объеме могут потребоваться.

1. Ошибочно выбранная область сертификации

Проведя недостаточный анализ и сделав неправильные выводы о важности того или иного процесса, компании зачастую выбирают область деятельности, не являющуюся ключевой.

1. Не предоставление сотрудникам возможности обучения

Многие компании не учитывают тот факт, что сотрудников, которые будут работать с системами информационной безопасности требуется подготовить, а при необходимости - подвергнуть их знания проверке.

Также возможно организовать обучение сотрудников заключив договор со специализированными учебными центрами. Обучение может производиться очно, заочно или дистанционно. После прохождения курсов сотрудники проходят тестирование.

1. Не берется во внимание соответствие с законодательством

При приведении в соответствие со стандартами важно не забывать о местном законодательстве - и одновременно учитывать требования Российского законодательства и требования к сертификации. 

Наша компания 

Юридическая компания "Профдирект" в Александрове предлагает организациям услуги  по сертификации ISO 27001. Благодаря наработанному опыту в области сертификации мы можем гарантировать качественное предоставление данного вида услуг.

Этапы получения услуги 

Получение ISO 27001 при помощи сотрудников компании "Профдирект" в Александрове состоит из следующих этапов:

1. Вы связываетесь с нами для заключения договора;
2. Предоставляете документацию компании;
3. Мы формируем пакет документации с учетом требований;
4. Направляем готовую документацию в сертифицирующий орган;
5. Получаем готовый пакет документации и передаем Вам через курьера.

Полезные документы

Сертификат (jpg) 389,7 КБ

---

---