ИСО/МЭК 27001-2006: добровольно и нужно

ИСО/МЭК 27001-2006: добровольно и нужно

Просмотров: 11
0

Партнёрам проще выстраивать отношения, если у обеих сторон задачи по защите информации решены понятным общепринятым способом. Эти задачи решены, если на предприятии применяется комплекс мер в отношении защиты информационных активов.

Средства и процессы управления таким комплексом представляют собой систему менеджмента информационной безопасности. Правила создания, внедрения и функционирования СМИБ приведены в ГОСТ Р ИСО/МЭК 27001-2006. Проверку соответствия может провести центр сертификации и выдать подтверждающий документ.

Кто может выдать сертификат?

Оценка по требованиям проводится добровольно. Её можно провести в любой системе добровольной сертификации, значащейся в реестре систем добровольной сертификации Росстандарта (федеральная служба по тех. регулированию и метрологии). На текущий момент в реестре значится более 1500 систем добровольной сертификации, часть из которых позволяет сертифицироваться по требованиям 27001-2006.

Система добровольной сертификации, как правило, регистрируется организацией (есть возможность и для физических лиц), которая сама устанавливает перечень объектов сертификации, требований к соответствию объектов, а также аккредитации в данной системе. При этом если организация заявляет, что проводит сертификацию на соответствие какому-либо стандарту, то не может произвольно выбирать требования и степень соответствия, а обязана делать это в соответствии с выбранным стандартом.

Наличие подтверждения в виде сертификата СМИБ показывает, что в организации действуют концепция и правила обеспечения безопасности информационных активов, приняты критерии оценки для рисков информационных ресурсов, руководство обращает пристальное внимание на вопросы защиты информации, а работники понимают важность соблюдения требований обеспечения защищённости информационных ресурсов.

Что даёт сертификат?

Соответствие стандартам укрепляет доверие между партнёрами.

Проведение проверки и наличие подтверждающего документа свидетельствуют, что организация выделяет ресурсы на защиту информации и умеет оценивать риски информационной безопасности, а кроме того идёт в ногу со временем, своевременно реагирует на рыночную конъюнктуру, следит за репутацией.

Сертификат будет востребован при взаимодействии с иностранными партнёрами, полезен при прохождении аудита соответствия требованиям других стандартов, например, PCIDSS.

Помимо этого, документ, подтверждающий проведение проверки может быть полезен участнику торгов, если наличие сертификата указано в качестве рекомендуемого требования к подрядчику в конкурсной документации.

Справка: наличие сертификата не может быть обязательным требованием в конкурсе. Судебная практика показывает, что время от времени бывает таковым, но успешно оспаривается.

Как получить сертификат?

Для получения сертификата заявителю нужно выполнить следующие действия:

  • Выбрать систему добровольной сертификации и центр сертификации (организацию). Мы советуем обратится в компанию ПроЭксперт — sro1expert.ru.
  • Направить заявку на сертификацию в выбранный центр.
  • Заключить договор с выбранным центром на оказание услуги по сертификации.
  • Собрать документы для сертификации и направить на аудит в выбранный центр.
  • После достижения положительного результата аудита получить сертификат.

Набор документов для подачи заявки примерно одинаков для разных систем добровольной сертификации:

  • Заявка.
  • Карточка организации (реквизиты).
  • Документы организации: выписка из ЕГРЮЛ, справка ОКВЭД, ОГРН, ИНН, устав.
  • Лицензии (копии) и допуски.
  • Структурная схема организации.

Аудит длится до нескольких недель в зависимости от размера и сложности структуры организации заявителя. После завершения аудита заявитель получит следующие документы:

  • Сертификат.
  • Знак соответствия.
  • Документация СМИБ.

Сертификат действует 3 года с даты оформления. Каждый год должна проводиться процедура инспекционной проверки.

Вывод

Положения ИСО/МЭК 27001-2006 не являются обязательными. Стоимость сертификации по этим требованиям относительно невысока, но проведение аудита требуется некоторое время. Возможность предоставить сертификат следует обеспечить до того, как он срочно понадобится.

248 просмотров всего, 1 просмотров сегодня

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ