Ответы на часто задаваемые вопросы по ISO 27001

1. Насколько актуальна ISO 27001 на сегодняшний день для нашей сферы деятельности и нашей компании в частности?

По мнению компаний, внедривших ISO/IEC 27001:2013 с нашей помощью и проработавших с сертификатом больше года, это было сделано не зря, так как сертификация ISO/IEC 27001 стала для них не столько конкурентным преимуществом, сколько отправной точкой развития и ключом к новым рынкам. Теперь ISO/IEC 27001:2013 для них не привилегия, а необходимость. Ведь основной причиной роста числа компаний, внедряющих системы информационной безопасности, являются нормативные требования рынков. На сегодняшний день стандарт популярен не только в сфере IT и online-услуг, но и получает широкое распространение в сфере оказания медицинских услуг, телекоммуникациях, финансовой индустрии и др. В будущем, возможно, он займет свое место в производстве продуктов питания и других сферах, жестко контролируемых государственным регулятором.

Многие компании из самых разных областей сходятся во мнении о том, что ISO/IEC 27001 – это не тот стандарт, который должен привести большой приток новых клиентов, а служащий ключом для выхода на рынки, к которым иначе не получить доступ. Если у компании есть сертификат ISO/IEC 27001:2013, это предполагает, что основные критерии информационной безопасности успешно реализованы и функционируют в ней. Потому ISO/IEC 27001 является главным базовым стандартом для сферы информационной безопасности. Есть множество более узких, отраслевых стандартов, например, PCI DSS (стандарт безопасности данных индустрии платёжных карт), популярный в финансовой индустрии. Но стандарт ISO/IEC 27001:2013 перекрывает часть требований PCI DSS и зачастую в конкретной ситуации не обязательно внедрять PSI DSS, а достаточно обойтись системой менеджмента информационной безопасности.

ISO/IEC 27001 основывается не только на информации, но и на всем, что помогает обеспечить безопасность и передачу информации - например, инфраструктура, без которой информация не может существовать. К тому же стандарт призван сделать информацию доступной только для определенного круга лиц и аутентичной. Поэтому он набирает все большую популярность не только для подтверждения безопасности данных клиентов, но и для внутренней защиты информационных активов.

Если Вы все еще не уверены, что ISO/IEC 27001:2013 необходим Вам, посмотрите преимущества для каждой сферы деятельности на нашей продающей странице или позвоните по телефонам: +375 33 390 60 70, +375 29 371 60 70.

2. Нужна ли документация по системе менеджмента информационной безопасности? Полезна ли она? Сколько человек мне придется задействовать для внедрения и поддержания системы?

Независимо от того, сколько усилий Вы приложили к вопросам безопасности своей компании, развертывание СМИБ может занять от 6 месяцев, а документы не будут идеально соответствовать тому, что Вы реально делаете на 100%, поскольку обычно основная цель, которую ставят компании – это получение сертификата в короткие сроки. Многие компании берут шаблонные документы по СУИБ и оставляют большую их часть без детальной доработки под свою деятельность. А затем вызывают орган по сертификации ISO/IEC 27001:2013 на первый этап сертификационного аудита, и аудитор спрашивает: “Вы выполняете те вещи, которые написаны в документах?”. А Вы понимаете, что никто не стал бы делать все то, что там написано. И получаете ряд замечаний. Из-за чего Вам все больше приходится вникать в суть работы СМИБ и адаптировать ее под себя, чтобы устранить эти замечания. Но есть другой вариант - разрабатывать СУИБ с помощью профессионального консультанта, который поможет Вам создать адаптированную под Вашу компанию СМИБ.

Многие организации волнуются, что система ISO/IEC 27001 рассчитана только на большие компании, где есть целые службы информационной безопасности, хотя на самом деле для развертывания системы достаточно одного-двух сотрудников в штате организации в случае, если у них будет внешний опытный эксперт.

3. Может ли консалтинговая организация полноценно внедрить ISO 27001 без нашего участия?

Первое, что компания должна знать, если планирует привлекать консалтинговую организацию, - эксперт не смогут внедрить систему ISO/IEC 27001:2013 без Вашего участия. Задача консультанта понять Ваши бизнес-процессы, помочь определить риски и подсказать, как это лучше прописать в документации. Консалтинговые компании понимают стандарт намного лучше, чем Вы, и могут подчеркнуть то, что Вы забыли или, возможно, наоборот преувеличили. Они знают из практики, как лучше решать те или иные проблемы при внедрении СМИБ и как решили эти проблемы Ваши коллеги из других компаний. Знают, какие сложности могут возникнуть во время сертификации и какие финансовые затраты Вы можете понести. Если у Вас нет эксперта, который регулярно проверяет то, как Вы внедряете систему, и позволяет Вам вернуться на два шага назад, когда Вы движетесь в неправильном направлении, может случиться так, что Вам придется сделать десять шагов назад или вообще начать заново.

4. Обязан ли консультант писать всю нашу документацию по СМИБ?

Нет, но важно наличие грамотно составленных шаблонов тех или иных процессов не столько из-за содержания, сколько для возможности видеть, как эта форма должна выглядеть и какие темы должны содержаться в ней по требованиям стандарта. Такие шаблоны, с одной стороны, дают структуру, а с другой стороны - свободу описывать то, что действительно работает в Вашей компании.

5. Должен ли сотрудник консалтинговой компании постоянно присутствовать в нашей компании во время внедрения СУИБ?

Это совсем не обязательно, ведь большая часть работы может осуществляться удаленно с помощью Jira Software, Confluence, Skype, Google drive и др. Конечно, эксперты должны осуществлять реальные визиты в компанию заказчика для проверки внедренных процессов, но это не обязывает их быть постоянно «on site».

6. Почему сертификат ISO 27001 все еще не так популярен, как сертификат ISO 9001?

Дело в том, что внедрить ISO 9001:2015 гораздо проще, чем ISO/IEC 27001:2013. Реализовать требования ISO/IEC 27001 гораздо сложнее, потому как они затрагивают вопросы инфраструктуры компании, физической безопасности и защиты от природных угроз, сетевой безопасности, контроля доступа, непрерывности бизнеса, идентификации, управления активами и др. Однако в этих стандартах есть пересечение определенного объема документов, и внедрение одного на базе другого значительно упрощает процесс.

7. На что нужно обратить внимание, прежде чем приступить к внедрению ISO 27001?

Очень важно понять, зачем Вам нужен сертификат ISO/IEC 27001:2013 и какие задачи Вы хотите решить данным сертификатом. Это нужно сделать в самом начале пути, взвешивая все плюсы и минусы. Немаловажным фактором принятия решения о внедрении СМИБ должна быть абсолютная приверженность руководства к ISO/IEC 27001, потому как может возникнуть необходимость подключать к работе сотрудников, задействованных в других проектах, которые уже приносят прибыль компании, и/или дополнительно вкладывать денежные средства в инфраструктуру.

Мы оказываем консалтинговые услуги по стандартам ISO, в том числе ISO/IEC 27001:2013, - помогаем внедрить систему, решить вопрос необходимости внедрения, определить объемы инвестиций и сферу распространения системы менеджмента. Можем провести предварительный аудит текущего состояния элементов управления информационной безопасностью и инфраструктуры компании на соответствие требованиям ISO/IEC 27001. Т. е. мы разрешим все возникшие у Вас проблемы на любом этапе внедрения и сертификации, ведь наши специалисты имеют многолетний опыт работы в сфере сертификации ISO в IT.