Внедрение и сертификация ISO 27001

Самый распространённый в мире стандарт информационной безопасности

Международный стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” является наиболее распространенной и общепризнанной во всем мире структурной основой для построения современных Систем Управления Информационной Безопасностью (СУИБ), которые также иногда называются Системами Менеджмента Информационной Безопасности (СМИБ), и их официальной сертификации.

Этот стандарт является ключевым в семействе стандартов ISO 27000.

infographic - ISO 27001
Стандарт де-юре и де-факто
ISO 27001 – это самый распространённый в мире стандарт информационной безопасности (ИБ) сейчас и за всю историю. Он принят во множестве стран. На его основе строятся многие другие стандарты, поэтому вы сэкономите на их внедрении.
Реальная безопасность
ISO 27001 – это залог построения реально работающей всеобъемлющей системы безопасности и объединения усилий ИТ-специалистов, службы безопасности, юристов, кадровиков и различных менеджеров.
Государственные стимулы
Сертификация ISO 27001 часто является необходимым условием участия в государственных закупках и тендерах. В некоторых отраслях законы и нормы требуют сертификацию по безопасности, и её отсутствие грозит штрафами.
Клиенты и инвестиции
Наличие сертификата ISO 27001 позволит вам привлекать крупных иностранных и отечественных клиентов и инвесторов, которые будут видеть, что ваша безопасность управляется должным образом.

H-X Technologies предоставляет услугу внедрения международного стандарта ISO 27001 «под ключ». Мы готовим вашу организацию для независимого аудита и сертификации, и поддерживаем вас даже после получения вами официального сертификата. В то же время, стандарт ISO 27001 настолько ценен практически, что некоторые клиенты внедряют его сугубо для себя, даже без официальной сертификации.

Наш подход к внедрению – мы начинаем с простых и понятных работ, давая вам первую ценность бесплатно, вводя вас в курс дела и позволяя вам чётко понять суть работ по внедрению и ваше участие в них:

1
Подготовка
Подготовка опросника самооценки текущего состояния СУИБ. Разработка и документирование области охвата (бизнес-процессы, подразделения, офисы и т. д.). Детализация плана работ по первичному аудиту и гэп-анализу.
2
Предварительный аудит
Уточнение области охвата, определённой в ходе договорного процесса. Интервьюирование ваших менеджеров и специалистов. Сбор доказательств, подтверждающих наличие в организации действующих механизмов управления безопасностью. Оценка текущего соответствия требованиям стандарта и анализ недостатков (Gap Analysis). Разработка и согласование плана внедрения с указанием сроков и ресурсов. Выполняется на протяжении 1 месяца.
3
Внедрение
Внедрение физической безопасности. Внедрение инструмента класса GRC для управления СУИБ. Инвентаризация и категоризация активов. Выявление и оценка информационных рисков (Risk Assessment). Разработка около 40 политик и процедур, необходимых для СУИБ. Определение и внедрение мер и процессов безопасности: управление изменениями, инцидентами, сетевой безопасностью, SDLC и т. д. Внедрение управления рисками. Обучение персонала. Внедрение KPI безопасности. Разработка отчета о внедрении и выдача сертификата о внедрении. Выполняется на протяжении в среднем 4-9 месяцев, в зависимости от области охвата и состояния СУИБ.
4
Сертификация
Выбор аудитора с аккредитацией UKAS или DAkkS, что обеспечивает международное признание. Организация независимого сертификационного аудита, на котором мы от вашего имени защищаем СУИБ перед аудитором. По результатам сертификационного аудита создается аудиторский отчет, содержащий оценку соответствия и рекомендации по исправлению недостатков. После их устранения выдаётся официальный сертификат независимого аудитора, подтверждающий соответствие ISO 27001. Этот этап занимает в среднем 1-2 месяца.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа внедрения ISO 27001. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)