Ваше благополучие зависит от ваших собственных решений.
Д. Рокфеллер

Великие дела нужно совершать, а не обдумывать бесконечно.
Юлий Цезарь

Сертификация ISO/IEC 27001

Сертификация ISO/IEC 27001 – это процедура, подтверждающая соответствие системы менеджмента информационной безопасности (СМИБ) требованиям международного стандарта ISO/IEC 27001, в результате которой выдается сертификат соответствия.

Сертификация СМИБ позволяет организациям демонстрировать клиентам и другим заинтересованным сторонам свою безопасность как делового партнера, что является критичным во многих областях бизнеса, в частности там, где ваша конкурентоспособность связана с умением защищать собственную информацию.

К основным преимуществам сертификации по данному стандарту можно отнести:

• возможность выхода на международные рынки за счет наличия международного сертификата, который подтверждает соответствие Вашей системы менеджмента информационной безопасности требованиям стандарта ISO/IEC 27001;
• улучшение управляемости организации;
• соответствие законодательным, нормативным правовым и договорным требованиям;
• формирование имиджа компании;
• конкурентные преимущества при участии в тендерах за счет ссылки на сертифицированную СМИБ;
• удержание существующих и завоевание новых клиентов за счет повышения уровня их доверия, а также получение заказов более высокого уровня;
• повышение капитализации и стоимости акций компании.

Аудит, осуществляемый представителями 3-ей стороны на соответствие ISO/IEC 27001, предполагает проведение проверки с выездом на место для изучения документов, опроса руководителей и специалистов, а также изучения информационных систем.

Процедура сертификации системы менеджмента по одному из международных стандартов или их комбинации подразделяется на 4 этапа:
1. Подготовка к сертификации - заполнение анкеты Заказчика, бланка заказа на проведение аудита, заключение договора;
2. Аудит первой ступени - согласование и выполнение плана аудита, получение отчета о 1-ой ступени аудита, включающего анализ документации системы менеджмента и оценку готовности к аудиту 2-ой ступени;
3. Аудит второй ступени - согласование и выполнение плана аудита, получение отчета об аудите, включающего анализ результативности действующей системы менеджмента, корректур и корректирующих действий по выявленным отклонениям/замечаниям;
4. Выдача сертификата и надзор - выполнение условий использования и продления срока действия сертификата путем прохождения наблюдательных и ре-сертификационных аудитов.

Развитие и актуальность сертификации ISO/IEC 27001 в Украине.

В настоящее время в Украине перечень компаний сертифицированных по стандарту ISO/IEC 27001 растет. Такое отношение предприятий к внедрению и сертификации систем менеджмента информационной безопасности связанно с тем, что информационная и финансовая защищенность организации является одним из основных факторов стабильности и устойчивого роста предприятия.

Основная причина, которая отрицательно влияет на темп роста сертифицированных предприятий по ISO/IEC 27001 - это непонимание значения СМИБ для организации руководством, а именно: руководство организаций не всегда может определить - есть ли эффект от СМИБ? И считает необоснованными временные и материальные затраты, необходимые для функционирования системы,  не понимая того факта, что в перспективе организация может получить существенную экономию финансовых ресурсов благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности.

В отличие от Законодательной базы Украины, где необходимо штудировать тонны нормативно – правовой документации, которая содержит огромное количество ссылок и приложений, при этом не сохраняя информативности по этому направлению, серия стандартов ISO/IEC 27000 содержит в себе более полную, качественную и последовательную методику внедрения и функционирования СМИБ. Данные международные стандарты обеспечивают периодичность и системность процессов СМИБ, а также гораздо полнее описывают аналогичные положения, представленные в Законодательной базе Украины.

Поэтому организациям для выполнения ЗУ, касающихся информационной безопасности, более целесообразно изначально внедрить и в последствии, пройдя предварительный аудит 3-ей стороны, сертифицировать СМИБ в соответствии с требованиями стандарта ISO/IEC 27001. Поскольку именно этот стандарт включает в себя лучшие мировые методики и практики, используется и имеет признание во всем мире, то при его внедрении Вы получите системность в постоянном улучшении и поддержании процессов в актуальном состоянии, а также повысите их эффективность.

При этом не стоит забывать о том, что сертифицирующий орган обязательно должен быть аккредитован в области СМИБ компетентным органом по аккредитации, что должно быть подтверждено соответствующим аттестатом. Только в этом случае есть гарантия того, что оценка Вашей системы менеджмента информационной безопасности при проведении процедуры сертификации будет независимой и беспристрастной.

Автор: Соловей Сергей