ISO / IEC 27001-2006: добровільно і потрібно

Діловим партнерам простіше вибудовувати відносини, якщо у обох сторін завдання щодо захисту інформації вирішені зрозумілим загальноприйнятим способом. Ці завдання вирішені, якщо на підприємстві застосовується комплекс заходів щодо захисту інформаційних активів.

Засоби і процеси управління таким комплексом є систему менеджменту інформаційної безпеки. Правила створення, впровадження та функціонування СМІБ наведені в ДСТУ ISO / IEC 27001-2006. Перевірку відповідності може провести центр сертифікації і видати підтверджуючий документ.

Хто може видати сертифікат?

Оцінка за вимогами проводиться добровільно. Її можна провести в будь-якій системі добровільної сертифікації, що значиться в реєстрі систем добровільної сертифікації Росстандарта (федеральна служба з тих. Регулювання і метрології). На поточний момент в реєстрі значиться понад 1500 систем добровільної сертифікації, частина з яких дозволяє сертифікуватися за вимогами 27001-2006.

Система добровільної сертифікації, як правило, реєструється організацією (є можливість і для фізичних осіб), яка сама встановлює перелік об’єктів сертифікації, вимог до відповідності об’єктів, а також акредитації в даній системі. При цьому якщо організація заявляє, що проводить сертифікацію на відповідність якому-небудь стандарту, то не може довільно вибирати вимоги і ступінь відповідності, а зобов’язана робити це відповідно до обраного стандарту.

Наявність підтвердження у вигляді сертифіката СМІБ показує, що в організації діють концепція і правила забезпечення безпеки інформаційних активів, прийняті критерії оцінки для ризиків інформаційних ресурсів, керівництво звертає пильну увагу на питання захисту інформації, а працівники розуміють важливість дотримання вимог забезпечення захищеності інформаційних ресурсів.

Що дає сертифікат?

Відповідність стандартам зміцнює довіру між партнерами.

Проведення перевірки та наявність підтверджуючого документа свідчать, що організація виділяє ресурси на захист інформації та вміє оцінювати ризики інформаційної безпеки, а крім того йде в ногу з часом, своєчасно реагує на ринкову кон’юнктуру, стежить за репутацією.

Сертифікат буде затребуваний при взаємодії з іноземними партнерами, корисний при проходженні аудиту відповідності вимогам інших стандартів, наприклад, PCIDSS.

Крім цього, документ, що підтверджує проведення перевірки може бути корисний учаснику торгів, якщо наявність сертифіката зазначено в якості рекомендованого вимоги до підрядника в конкурсній документації.

Довідка: наявність сертифіката не може бути обов’язковою вимогою в конкурсі. Судова практика показує, що час від часу буває таким, але успішно оскаржується.

Як отримати сертифікат?

Для отримання сертифіката заявнику потрібно виконати наступні дії:

  • Вибрати систему добровільної сертифікації і центр сертифікації (підприємство). Ми радимо звернеться в компанію ПроЕксперт – sro1expert.ru.
  • Направити заявку на сертифікацію в обраний центр.
  • Укласти договір з обраним центром на надання послуги з сертифікації.
  • Зібрати документи для сертифікації і направити на аудит в обраний центр.
  • Після досягнення позитивного результату аудиту отримати сертифікат.

Набір документів для подачі заявки приблизно однаковий для різних систем добровільної сертифікації:

  • Заявка.
  • Картка організації (реквізити).
  • Документи організації: виписка з ЕГРЮЛ, довідка КВЕД, ОГРН, ІПН, статут.
  • Ліцензії (копії) і допуски.
  • Структурна схема організації.

Аудит триває до декількох тижнів в залежності від розміру і складності структури організації заявника. Після завершення аудиту заявник отримає наступні документи:

  • Сертифікат.
  • Знак відповідності.
  • Документація СМІБ.

Сертифікат діє 3 роки з дати оформлення. Щороку повинна проводитися процедура інспекційної перевірки.

висновок

Положення ISO / IEC 27001-2006 не є обов’язковими. Вартість сертифікації за цими вимогами відносно невисока, але проведення аудиту потрібен якийсь час. Можливість надати сертифікат слід забезпечити до того, як він терміново знадобиться.

Ссылка на основную публикацию