Сертификация
Промышленная безопасность
Проектирование
Технические регламенты ТС
Охрана труда
Пожарная безопасность
Экологическая безопасность
Техническая документация
Негосударственная экспертиза
Сертификация ИСО
Метрология
Электролаборатория
Лицензии организаций
Разрешительные документы ведомств
Патентование
Антитеррор
Зачем организации нужна СМИБ
СМИБ обеспечивает сохранность и конфиденциальность информации за счет грамотного управления рисками. Стандарт требует разработать меры по обеспечению информационной безопасности и объясняет, каких целей позволяет достичь применение этих мер. Она должна быть интегрирована в общую структуру управления, стать частью бизнес-процессов.
На то, в каком виде в организации будет создана и внедрена СМИБ, влияют такие факторы, как:
- потребности и цели деятельности организации (в том числе ожидания заинтересованных сторон);
- требования безопасности;
- рабочие процессы (в том числе внешние и внутренние факторы, которые имеют отношение к деятельности организации и влияют на функционирование СМИБ);
- размер и структура организации (в том числе область применения СМИБ).
Требования стандарта являются универсальными. Это означает, что им может следовать любая организация независимо от их типа, размера, структуры и сферы деятельности.
Стандарт ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001) не содержит каких‑либо требований технического характера к средствам IT-защиты или прочим средствам информационной безопасности. Не ограничивается выбор программно-аппаратных средств, сохраняется свобода выбора технических решений по защите информации.
Кому нужна сертификация по ISO 27001
Сертифицировать свою СМИБ может любая организация, поскольку у каждой есть сведения, которые не должны быть потеряны или известны посторонним лицам. Но среди тех, кому можно рекомендовать сертификацию в первую очередь, стоит назвать:
- Финансовые учреждения (банки, фонды);
- Страховые компании;
- Медицинские учреждения;
- Научно-исследовательские центры;
- Службы курьерской доставки;
- Телекоммуникационные холдинги;
- IT-компании;
- Образовательные учреждения;
- Предприятия, работающие в области атомной энергетики;
- Проектные институты.
Преимущества, которые дает сертификат ISO 27001
Если СМИБ прошла сертификацию на соответствие стандарту ИСО 27001, это означает, что ее существующая «версия» соответствует его требованиям. Это повышает уверенность в соответствующем уровне защиты активов компании, пропорциональности мер и средств защиты возможному ущербу.
Предприняты меры для сведения к минимуму финансовых издержек и репутационного ущерба, которые может понести организация из-за утечки или потери информации.
Какие преимущества дает сертификат ИСО 27001:
- Организация обеспечивает защиту информации, ее сохранность и конфиденциальность в соответствии с самым современным мировым опытом.
- Партнеры и клиенты получают подтверждение надежности организации. Наличие сертификата говорит им о том, что эта организация серьезно относится к сохранению коммерческой тайны и доступ к их конфиденциальной информации не получат третьи лица.
- Эффективное управление информационной безопасностью способствует более лояльному отношению со стороны органов государственной власти и надзорных органов. В частности, проще получить лицензию ФСБ на гостайну.
- Стандарты ИСО известны во всем мире. Если организация выходит на международные рынки, их участники понимают, что новому игроку, добровольно прошедшему сертификацию, можно доверять в вопросах информационной безопасности.
- Перед сертификацией выявляются возможные риски утечки и потери данных. Заранее принимаются превентивные меры.
Как получить сертификат
Эксперты нашего органа по сертификации «Серконс» предлагают сертифицировать систему менеджмента информационной безопасности в Системе добровольной сертификации интегрированных систем менеджмента «Альянс Сертификейшн». Сертификат ИСО 27001 выдается заявителю на три года, но соответствие требованиям стандарта ежегодно проверяется в ходе инспекционного аудита. Сведения о сертификате вносятся в собственный реестр Органа.
Стоимость услуги рассчитывается в индивидуальном порядке, поскольку зависит от размера организации, сферы ее деятельности, области применения СМИБ и т.д. Точную цену наши специалисты смогут назвать, только изучив условия вашей заявки.
Разработка и внедрение СМИБ проходит в несколько этапов:
- Анализ текущего состояния информационной безопасности (на этом этапе эксперты собирают первичную информацию о компании, разрабатывают план обследования, проводят обследование на объектах заказчика (местах ведения деятельности), на основании результатов обследования составляют отчет и дают рекомендации, как привести информационную безопасность в соответствие с требованиями стандарта).
- Определение области применения СМИБ и составление плана ее внедрения (на этом этапе эксперты изучают бизнес-процессы и дают рекомендации, на работу каких подразделений должна распространяться СМИБ, составляют последовательность работ по ее внедрению).
- Проектирование СМИБ (распределяют функции и ответственность в части информационной безопасности между сотрудниками, разрабатывают документированные процедуры СМИБ).
- Оценка рисков информационной безопасности (на этом этапе эксперты разрабатывают и согласовывают с заказчиком регламент управления рисками, проводят оценку рисков, составляют отчет по результатам оценки).
- Внедрение СМИБ (на этом этапе эксперты приводят процессы СМИБ в соответствие с документированными процедурами, обучают персонал заказчика работе согласно новым требованиям и готовят внутренних аудиторов).
