Впровадження та сертифікація ISO 27001

Найпоширеніший у світі стандарт інформаційної безпеки

Міжнародний стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” є найбільш поширеною та загальновизнаною в усьому світі структурною основою для побудови сучасних Систем Управління Інформаційною Безпекою (СУІБ), які також іноді називаються Системами Менеджменту Інформаційною Безпекою (СМІБ), та їхньої офіційної сертифікації.

Цей стандарт є ключовим у сімействі стандартів ISO 27000.

infographic - ISO 27001
Стандарт де-юре та де-факто
ISO 27001 – це найпопулярніший стандарт інформаційної безпеки (ІБ) зараз і за всю історію. Він прийнятий у багатьох країнах. На його основі будується багато інших стандартів, тому ви заощадите на їхньому впровадженні.
Реальна безпека
ISO 27001 – це запорука побудови реально працюючої всеосяжної системи безпеки та об’єднання зусиль ІТ-фахівців, служби безпеки, юристів, кадровиків і різних менеджерів.
Державні стимули
Сертифікація ISO 27001 часто є необхідною умовою участі в державних закупівлях і тендерах. У деяких галузях закони та норми вимагають сертифікацію з безпеки, та її відсутність загрожує штрафами.
Клієнти та інвестиції
Наявність сертифікату ISO 27001 дозволить вам залучати великих іноземних і вітчизняних клієнтів та інвесторів, які будуть бачити, що ваша безпека управляється належним чином.

H-X Technologies надає послугу впровадження міжнародного стандарту ISO 27001 «під ключ». Ми готуємо вашу організацію для незалежного аудиту та сертифікації, та підтримуємо вас навіть після отримання вами офіційного сертифіката. У той самий час, стандарт ISO 27001 настільки цінний практично, що деякі клієнти впроваджують його суто для себе, навіть без офіційної сертифікації.

Наш підхід до впровадження – ми починаємо з простих і зрозумілих робіт, даючи вам першу цінність безкоштовно, вводячи вас в курс справи та дозволяючи вам чітко зрозуміти суть робіт з впровадження та вашу участь у них:

1
Підготовка
Підготовка опитувальника самооцінки поточного стану СУІБ. Розробка та документування обсягу охоплення (бізнес-процеси, підрозділи, офіси тощо). Деталізація плану робіт з первинного аудиту та геп-аналізу.
2
Попередній аудит
Уточнення обсягу охоплення, що був визначений у ході договірного процесу. Інтерв’ювання ваших менеджерів і фахівців. Збір доказів, що підтверджують наявність в організації діючих механізмів управління безпекою. Оцінка поточної відповідності вимогам стандарту та аналіз недоліків (Gap Analysis). Розробка та узгодження плану впровадження із зазначенням термінів і ресурсів. Виконується протягом 1 місяця.
3
Впровадження
Впровадження фізичної безпеки. Впровадження інструменту класу GRC для управління СУІБ. Інвентаризація та категоризація активів. Виявлення та оцінка інформаційних ризиків (Risk Assessment). Розробка близько 40 політик і процедур, необхідних для СУІБ. Визначення та впровадження заходів і процесів безпеки: управління змінами, інцидентами, мережевою безпекою, SDLC тощо. Впровадження управління ризиками. Навчання персоналу. Впровадження KPI безпеки. Розробка звіту про впровадження та видача сертифікату про впровадження. Виконується протягом у середньому 4-9 місяців, у залежності від обсягу охоплення та стану СУІБ.
4
Сертифікація
Вибір аудитора з акредитацією UKAS або DAkkS, що забезпечує міжнародне визнання. Організація незалежного сертифікаційного аудиту, на якому ми від вашого імені захищаємо СУІБ перед аудитором. За результатами сертифікаційного аудиту створюється аудиторський звіт, що містить оцінку відповідності та рекомендації щодо виправлення недоліків. Після їх усунення видається офіційний сертифікат незалежного аудитора, що підтверджує відповідність ISO 27001. Цей етап займає в середньому 1-2 місяці.

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення впровадження ISO 27001. Отримайте безкоштовну консультацію.

Бізнес-кейси проектів, виконаних нами

Аналіз безпеки вихідних кодів програмного забезпечення
Аудити безпеки та тести на проникнення
Кейси з впровадженню центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування