ЧТО ТАКОЕ ISO/IEC 27001?

Это международный стандарт, который прописывает «как управлять информационной безопасностью» Вашего бизнеса. ISO/IEC 27001 может использоваться любой компанией независимо от ее размера и сферы деятельности. Суть стандарта ИСО 27001 заключается в защите конфиденциальности, целостности и доступности информации Вашего бизнеса путем выявления потенциальных информационных, технических проблем и разработке действий по предотвращению их возникновения. И здесь речь идет не только о компьютерной безопасности, но и об управлении процессами и персоналом, юридической и физической защите, и многом другом.

КАКИЕ ПРОБЛЕМЫ РЕШАЕТ ISO/IEC 27001

Все отрасли

  • Распределение ролей, обязанностей и ответственности касательно вопросов безопасности.
  • Защита передачи данных.
  • Ключ к работе с крупными международными заказчиками.
  • Участие в тендерных закупках.
  • Убеждение заказчиков в безопасности их информации.
  • Снижение вероятности получения штрафов за нарушение конфиденциальности.
  • Обеспечение соответствия нормативным требованиям в области защиты персональных данных.

ИТ-компании

  • Убеждение заказчиков в безопасности их информации.
  • Соответствие GDPR.
  • Минимизация дополнительных проверок заказчиком.
  • Распространение СМИБ на работу компании и на проекты.
  • Обеспечение непрерывности бизнеса.
  • Защита активов компании.
  • Защита от вредоносного кода.
  • Защита передачи данных.

Финансовые учреждения

  • Разработка методологии управления операционными рисками.
  • Систематизация службы безопасности.
  • Обеспечение безопасности информационных активов.
  • Повышение осведомленности сотрудников компании в части защиты информации.
  • Гарантия непрерывности бизнеса для высшего руководства.

Поставщики онлайн и оффлайн услуг

  • Повышение уровня устойчивости организации.
  • Уменьшение числа жалоб (штрафов) из-за недоступности сервиса (услуги).
  • Стабилизация работы сервисов.

Консалтинговые компании

  • Безопасность данных клиентов.
  • Безопасность работы с поставщиками.

Высокотехнологичные компании

  • Юридическая защита интеллектуальной собственности.
  • Физическая защита интеллектуальной собственности.

Организации здравоохранения

  • Защита конфиденциальных медицинских данных.

ВИДЫ СЕРТИФИКАТОВ:

ИНФОРМАЦИЯ О ВНЕДРЕНИИ, СЕРТИФИКАЦИИ (РЕСЕРТИФИКАЦИИ) И СТОИМОСТИ ЭТИХ УСЛУГ

Как проходит внедрение ISO 27001

1) Принятие решения о необходимости внедрения на уровне руководства Вашей компании

Это может показаться довольно очевидным, и Вы можете посчитать это несерьезным. Но основной причиной, по которой проекты ISO 27001 терпят неудачу – руководство предоставляет недостаточно людей для работы над проектом и/или недостаточно денег.

2) Разработка плана проекта по внедрению стандарта

Внедрение ISO 27001 – это сложный процесс длительностью от нескольких месяцев до года, включающий в себя набор мероприятий и вовлеченность части сотрудников. Потому необходимо четко определить: что должно быть сделано, кем и в какие сроки (т.е. использовать управление проектами), иначе Вы можете никогда не закончить работу.

3) Определение области применения СМИБ в случае наличия нескольких направлений деятельности

Если Вы являетесь крупной организацией, необходимо определить на какую область деятельности Вы хотите распространить систему ISO 27001, что значительно сократит издержки по внедрению.

4) Составление политик информационной безопасности верхнего уровня

Политики системы менеджмента информационной безопасности – это документы самого высокого уровня в Вашей компании, которые должны определить основные проблемы информационной безопасности в Вашей организации.

5) Написание правил по выявлению потенциальных информационных проблем (оценке рисков)

Оценка рисков является наиболее сложной задачей в проекте внедрения ISO 27001: необходимо определить правила идентификации уязвимостей, угроз, воздействий и вероятности их возникновения, а также определить приемлемый уровень риска для активов.

6) Разработка действий по предотвращению возникновения проблем (обработка рисков)

Здесь Вы должны получить полное представление об опасности для информации Вашей организации. Цель процесса обработки рисков состоит в том, чтобы уменьшить риски, которые являются неприемлемыми – это обычно делается путем планирования использования средств контроля из Приложения A ISO/IEC 27001. На этом этапе должны быть написаны: отчет об оценке рисков, в котором документируются все шаги, предпринятые в процессе оценки и обработки рисков, и одобрение остаточных рисков.

7) Составление заявления о применимости

После обработки рисков Вы сможете определиться с необходимыми элементами управления из Приложения А. Получившийся документ (SoA) будет содержать перечень всех элементов управления и определять, какие из них применимы, а какие нет (с указанием причины такого решения, целей, которые должны быть достигнуты с помощью элементов управления, и описанием того, как они реализуются).

8) Разработка плана обработки рисков

В нем будет точно определено, как должны быть реализованы средства управления из SoA – кто будет это делать, когда, с каким бюджетом и т. д. Этот документ фактически является планом реализации, ориентированным на Ваши элементы управления, без которых Вы не смогли бы координировать дальнейшие шаги в проекте внедрения.

9) Определение способов измерения эффективности средств контроля

Еще одна задача, которую обычно недооценивают. Дело в том, что если Вы не можете измерить то, что сделали, как Вы можете быть уверены, что выполнили свои цели? Поэтому обязательно определите, как Вы собираетесь измерять выполнение целей, которые Вы установили как для всех СМИБ, так и для каждого применимого контроля в заявлении о применимости.

10) Реализация элементов управления и обязательных процедур

Реализация обязательных процедур и применимых элементов управления из Приложения A обычно означает использование новой технологии и внедрение новой модели поведения в Вашей организации.

11) Воплощение в жизнь программы обучения и повышения осведомленности

Чтобы Ваш персонал применял все новые политики и процедуры, необходимо объяснить им причины и обучить своих людей, чтобы они могли выполнять предписания. Отсутствие этих мероприятий является третьей наиболее распространенной причиной неудачи проекта ISO 27001.

12) Выполнение всех ежедневных операций, предписанных документацией СУИБ

Здесь ISO 27001 становится повседневной рутиной в Вашей организации. Ключевое слово тут «записи» (логи), которые любят аудиторы: без них Вам будет очень трудно доказать, что действительно было что-то сделано. Но записи - это не только рутина, но и помощь в отслеживании выполнения Вашими сотрудниками (и поставщиками) своих задач по мере их возникновения.

13) Мониторинг Вашей СМИБ на предмет достижения первоначальных целей

Что происходит в Вашей системе менеджмента информационной безопасности? Сколько у Вас бывает инцидентов и какого они типа? Все ли процедуры выполняются правильно? Именно здесь цели Вашего управления и методологии измерения объединяются – Вы должны проверить, достигают ли полученные результаты того, что Вы установили в своих целях. Если нет и что-то не так, то Вы должны выполнить корректирующие и/или улучшающие действия.

14) Проведение внутреннего аудита

Очень часто люди не осознают, что они делают что-то неправильно, или понимают, но не хотят, чтобы кто-то узнал об этом. А неосведомленность о существующих или потенциальных проблемах может нанести вред Вашей организации – вот почему проводится внутренний аудит, чтобы выявить проблемы такого рода. Речь здесь идет не о принятии дисциплинарных мер, а о корректирующих действиях по управлению рисками.

15) Осуществление управленческого анализа

Руководство не должно настраивать программные средства, но оно должно знать, что происходит в системе менеджмента информационной безопасности, т. е. каждый ли выполнил свои обязанности, достигает ли СМИБ желаемых результатов и т. д. На основе этих данных руководство должно принимать оперативные и стратегические решения.

16) Выполнение корректирующих и улучшающих действий

Цель системы управления состоит в том, чтобы гарантировать, что все, что неправильно - исправлено, а лучше предотвращено. Поэтому ISO 27001 требует, чтобы действия по управлению рисками проводились систематически, что означает, что первопричина несоответствия должна быть выявлена, а затем устранена и проверена.

Полную программу наших работ по внедрению СМИБ Вы можете получить, позвонив нам.

Как проходит сертификация ISO/IEC 27001

Чтобы организация стала сертифицированной по стандарту ISO/IEC 27001, она должна внедрить стандарт, а затем пройти сертификационный аудит выбранного органа по сертификации. Аудит представляет собой проверку документации СМИБ и деятельности компании на соответствие этой документаций. Сертификат действует три года, и в течении этого времени будут произведены дополнительные инспекционные контроли для проверки аудиторами органа по сертификации работоспособности системы.

Наша компания может провести внедрение и сертификацию СМИБ с получением сертификата международного образца. Мы поможем Вам выбрать орган по сертификации и подберем эксперта, уже работавшего с ним.

КАК ПРОХОДИТ Ресертификация ISO 27001:2013

Международный стандарт ISO 27001 был разработан Международной организации по стандартизации ISO и опубликован в 2005 году. А в 2013 году был переиздан для лучшего согласования с другими стандартами управления ISO. Переходный период на ISO/IEC 27001:2013 уже завершен, но уже имеющая рабочая СМИБ будет отличной основой для новой системы.

Наши специалисты подготовят Вас к ресертификации в кратчайшие сроки. Ответы на общие вопросы, часто возникающие при принятии решения о необходимости внедрения стандарта, можно прочитать в статье «Ответы на часто задаваемые вопросы по ISO 27001»

Наши тарифы:

Предварительный аудит

от 1000 Евро

убедиться в соответствии компании требованиям стандарта

определить объем работ и сроки на внедрение СУИБ в Ваш бизнес

понять, каковы будут финансовые затраты на инфраструктуру

- работа on-site (у заказчика) от 1 рабочего дня;

- проверка наличия обязательной документации СМИБ и готовности инфраструктуры;

- отчет о несоответствиях с рекомендациями (до 7 рабочих дней).

Помощь по внедрению

от 2000 Евро

Нужна методико-консультативная помощь специалистов и/или экспертная поддержке во время самостоятельного внедрения СМИБ

- работа online (через email, skype, мобильную связь и др.);

- проверка готовности документации СМИБ;

- методико-консультативная помощь и/или отчет.

Полное внедрение

от 5000 Евро

Для создания полноценно функционирующей СМИБ в сжатые сроки с максимальной поддержкой

- работа on-site, оnline (через email, skype, Jira, Confluence, Google Drive и др.);

- разработка СМИБ (русский или английский вариант), проверка всей документации и ее работоспособности;

- сопровождение сертификации;

- два специалиста (технический по ИБ и разработчик систем).

Сертификация

от 1200 Евро

Для получения сертификата на действующую СУИБ

- работа on-site (сертификационный аудит);

- оценка СМИБ по требованиям ISO/IEC 27001 и Приложения А, контроль соответствия обязательных процедур, инфраструктуры и др., выявление аспектов для улучшения;

- отчет + сертификат.

Ресертификация

от 1200 Евро

перейти на последнюю версию стандарта

сменить орган по сертификации

- работа on-site (ресертификационный аудит);

- оценка актуальности СМИБ требованиям ISO/IEC 27001 и Приложения А, изменений в области применения СМИБ, контроль соответствия обязательных процедур, инфраструктуры и др., выявление аспектов для улучшения;

- отчет + сертификат.

Услуга

Предварительный аудит

Помощь по внедрению

Полное внедрение

Сертификация

Ресертификация

Стоимость

от 1000 Евро

от 2000 Евро

от 5000 Евро

от 1200 Евро

от 1200 Евро

Зачем необходима

  • убедиться в соответствии компании требованиям стандарта
  • определить объем работ и сроки на внедрение СУИБ в Ваш бизнес
  • понять, каковы будут финансовые затраты на инфраструктуру

Нужна методико-консультативная помощь специалистов и/или экспертная поддержке во время самостоятельного внедрения СМИБ

Для создания полноценно функционирующей СМИБ в сжатые сроки с максимальной поддержкой

Для получения сертификата на действующую СУИБ

  • перейти на последнюю версию стандарта
  • сменить орган по сертификации

Специалист
международного уровня

+

Технический специалист в ИБ и специалист-разработчик систем

Технический специалист в ИБ и специалист-разработчик систем

Зависит от специфики работы компании и кодов IAF

Зависит от специфики работы компании и кодов IAF

Работа с экспертом

On-site (1 рабочий день)

Online (через e-mail, skype, мобильную связь и др.)

On-site, Оnline (в том числе в Jira, Confluence, Google Drive)

Online (через e-mail, skype, мобильную связь и др.)

Online (через e-mail, skype, мобильную связь и др.)

Выезд на площадки Заказчика

От 1 рабочего дня

-

В зависимости от сложности проекта

Проведение сертификационного аудита компании

Проведение ресертификационного аудита

Выполняемые работы

Проверка наличия необходимой для сертификации документации

Методико-консультативная помощь по разработке и/или внедрению СМИБ

Разработка (RUS/ENG вариант), внедрение, проверка наличия документации и функционирования СМИБ

Проверка наличия необходимой для сертификации документации

Проверка наличия необходимой для ресертификации документации

Отчет по результатам
работы

По аналогии с отчетом международного аудитора (до 7 рабочих дней)

-

По аналогии с отчетом международного аудитора (до 7 рабочих дней)

Отчет + сертификат

Отчет + сертификат

Позвоните нам, и мы предоставим Вам подробную программу работ по внедрению системы и точное коммерческое предложение.

MЫ РАБОТАЕМ

НАШИ ПАРТНЕРЫ С МЕЖДУНАРОДНЫМ ИМЕНЕМ

ПОЧЕМУ СТОИТ ОБРАТИТЬСЯ К НАМ?

Работаем более 5 лет в данной сфере
Более 500 реализованных проектов
Ответственный подход к работе

О КОМПАНИИ

Основной сферой деятельности «Центра содействия экспорту» является внедрение стандартов ISO, а именно:

  • - Разработка и внедрение систем качества (СМК, СУИБ, СУОТ и т.д.);
  • - Консультативная деятельность в сфере сертификации компаний всех отраслей;
  • - Обучение сотрудников требованиям стандартов;
  • - Полное сопровождение сертификации как на национальном, так и международном уровнях.

Сопутствующие услуги:

  • - Сертификация продукции;
  • - Сертификация в строительной, лесной, пищевой сферы.

Центр содействия экспорту имеет широкую партнерскую сеть, в которую входят ведущие органы по сертификации, аудиторы, консультанты и разработчики. Наши сотрудники имеют большой опыт работы в сфере сертификации и оптимизации бизнес-процессов.

ДАЛЕЕ МОЖНО СДЕЛАТЬ СЛЕДУЮЩЕЕ

ПОЗВОНИТЬ ИЛИ ЗАКАЗАТЬ ЗВОНОК
Наш телефон: +375 33 390 60 70
ПОЛУЧИТЬ КОММЕРЧЕКОЕ ПРЕДЛОЖЕНИЕ

ЗАДАТЬ ВОПРОС

НАШИ КЛИЕНТЫ

Так же ищут:

iso iec гост iso iec руководство iso iec iso iec 27001 стандарта iso iec стб iso iec 27001 2016 iso iec 27005 стандарт iso iec 27001 iso iec 27000 iso iec 27002 международный стандарт iso iec iso iec 27001 2005 iso iec 27001 2013 ... iso iec 27002 2013 iso iec 27003 стандарты информационной безопасности iso iec iso iec 27004 гост iec гост iec мэк гост р iec гост исо мэк гост р исо мэк гост р исо мэк 27000 гост р исо мэк 27000 2012 гост исо мэк 27000 исо мэк 27000 стб iec 27001 iso 27001 iec 27001 стандарт 27001 исо 27001 сертификат 27001 сертификат iso 27001 iso 27001 2013 стандарт iso 27001 международный стандарт 27001 iso 27001 2017 сертификация 27001 iso 27001 2005 гост 27001 сертификата исо 27001 27001 внедрение мэк 27001 аудит iso 27001 информационная безопасность iso 27001 система менеджмента информационной безопасности iso 27001 iso 27001 система менеджмента информационной мэк iec стандарты мэк iec смиб исо 27000 гост исо 27000 гост р исо 27000 гост р исо 27000 2012 гост р 27000 2012 гост 27000 2012 гост 27000 гост р 27000 iso 27000 iec 27000 iec 27005 iso 27005 мэк 27000 iso 27002 iso 27002 2013

Спасибо, Вам перезвонят в течении 15 минут!
Спасибо, Вам пришлют КП в течении 15 минут!