Сертификация ISO (ИСО) 27001

Сертифицированные организации получают право на использование сертификационных знаков согласно правилам их применения.

Ознакомиться с правилами использования сертификационных знаков можно по ссылке.

Создание системы менеджмента информационной безопасности — стратегическое решение руководства, которое может помочь организации улучшить общую результативность ее работы в области обеспечения защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.

Следующие основные принципы способствуют успешной реализации СМИБ:

Польза от внедрения СМИБ на основе настоящего стандарта состоит в:

При создании и внедрении СМИБ учитываются потребности и цели организации, требования по безопасности, применяемые организационные процессы, размер и структура организации.

Стандарты серии ISO являются добровольными, однако, в современном мире ISO/IEC 27001 фактически является необходимыми для применения. Атаки на информационную безопасность могут влиять на организации по всему миру.

Соответствие организации требованиям стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) демонстрирует ее стабильную и эффективную позицию за счет СМИБ.

Стоимость и сроки действия сертификата ISO/IEC 27001

Стоимость услуг по сертификации СМИБ по стандарту ISO/IEC 27001 зависит от трудоемкости работ по проведению сертификационного аудита, регламентированной в Органе по сертификации.

Сертификаты соответствия выдаются сроком на три года. В течение трех лет действия сертификатов проводятся два инспекционных контроля (надзорных аудита) с периодичностью не реже одного раза в год. По результатам инспекционных контролей Органом по сертификации принимается решение о подтверждении действия сертификатов соответствия.

По желанию сертифицированной организации срок действия сертификата соответствия ISO/IEC 27001 может быть продлен на новый трехлетний срок путем проведения процедуры ресертификации (повторной сертификации).

Список необходимых документов для ГОСТ ИСО 27001

При обращении в Орган по сертификации систем менеджмента ООО «Тест-С.-Петербург» мы попросим Вас заполнить формы заявочных документов для получения общих входных данных о Вашей организации, выпускаемой продукции и (или) оказываемых услугах и системе менеджмента информационной безопасности, чтобы установить предполагаемую область сертификации, определить уровень компетенции, необходимый для формирования аудиторской группы, разработать программу аудитов, а также учесть факторы, влияющие на эффективность проведения сертификации.

При проведении работ по сертификации мы попросим Вас предоставить документированную информацию, требуемую стандартом ISO/IEC 27001 (перечень направим после получения Заявки на сертификацию).

Процедура сертификации ISO 27001

Сертификация систем менеджмента информационной безопасности представляет собой процедуру подтверждения соответствия, посредством которой независимая компетентная организация (аккредитованный орган по сертификации систем менеджмента) удостоверяет в письменной форме, что система менеджмента организации соответствует требованиям стандарта, заявленного на сертификацию.

Требования к процедуре проведению аудита и сертификации систем менеджмента информационной безопасности установлены в стандартах ГОСТ Р ИСО/МЭК 17021-1–2017, процедурах Органа по сертификации системе менеджмента ООО «Тест-С.-Петербург».

Процедура сертификация проводится на основании зарегистрированной заявки организации на сертификацию и заключенного договора на сертификацию с Органом по сертификации ООО «Тест-С.-Петербург». Скачать форму заявки на сертификацию можно по ссылке.

Процедура сертификации состоит из следующих основных этапов:

Подробно с правилами и условиями проведения сертификации систем менеджмента можно ознакомиться по ссылке.

Общая информация о стандарте ISO/IEC 27001

ISO/IEC 27001 разработан Международной организацией по стандартизации ISO совместным техническим комитетом ISO/IEC JTC1 Информационные технологии, подкомитетом SC27 Методы защиты в IT.

В Российской Федерации разработан и введен в действие ГОСТ Р ИСО/МЭК 27001-2021. Стандарт идентичен международному стандарту ИСО/МЭК 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements», IDT), включая технические поправки: Cor. 1:2014; Cor. 2:2015.

Стандарт устанавливает общие требования по созданию, внедрению, функционированию и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации, требования по оценке и обработке рисков информационной безопасности с учетом потребностей организации.

Стандарт ISO/IEC 27001 описывает лучшие мировые практики в области менеджмента информационной безопасности и устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Понятие «защиты информации» трактуется в стандарте как обеспечение конфиденциальности, целостности и доступности информации. В основу стандарта ISO/IEC 27001 заложена система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

Благодаря согласованности с другими стандартами ISO, стандарт ISO/IEC 27001 позволяет органично вписать управление информационной безопасностью в другие бизнес-процессы, не ущемляя ни права пользователей, ни возможности сотрудников отдела информационной безопасности.