Получение сертификата ISO 27001 - как подготовиться к сертификационному аудиту.

Получение сертификата ISO 27001 - как подготовиться к сертификационному аудиту.

Если вы думаете, что написание пакета документов по информационной безопасности достаточно для получения сертификата ISO 27001, вы ошибаетесь. Вам необходимо выполнить все действия, описанные в вашей документации, но это еще не все - вам также необходимо выполнить определенные шаги на заключительном этапе проекта ISO 27001.

Процесс сертификации ISO 27001.

Давайте начнем с самого процесса сертификации - он разделен на два этапа: аудит 1 этапа и аудит 2 этапа. На этапе 1 аудита (также называемого проверкой документации) сертификационный аудитор проверяет, соответствует ли ваша документация стандарту ISO 27001; На этапе 2 аудита (также называемого Основным аудитом) аудитор проверяет, соответствуют ли все ваши действия как ISO 27001, так и вашей документации.

Поэтому вам необходимо уделять внимание как написанию соответствующей документации для ваших нужд, так и по-настоящему приверженности внедрению информационной безопасности в вашей компании.

Обязательные шаги для завершения реализации.

После завершения всей документации и ее реализации вам необходимо выполнить следующие обязательные шаги в вашем проекте ISO 27001:

• Внутренняя проверка
• Анализ со стороны руководства
• Корректирующие и профилактические действия

Цель внутреннего аудита состоит в том, чтобы кто-то независимо проверял, правильно ли работает ваша Система управления информационной безопасностью (СУИБ).

Проверка со стороны руководства - это на самом деле официальный способ для руководства учесть все соответствующие факты об информационной безопасности и принять соответствующие решения. Цель ISO 27001 - принимать такие решения как часть регулярного процесса принятия решений.

Наконец, компании необходимо исправить все проблемы, обнаруженные внутренними аудиторами, менеджерами или кем-то еще, и задокументировать, как эти проблемы были решены - этот процесс называется корректирующими действиями. Рекомендуется также предпринять превентивные действия - чтобы попытаться предотвратить проблемы до того, как они возникнут (что сертификационный аудитор по достоинству оценит).

Как проверить реализацию ISO 27001?

Однако, прежде чем предпринимать эти обязательные шаги, полезно проверить, все ли на месте. Этот шаг не требуется стандартом ISO 27001 (по крайней мере, не так явно), но, на мой взгляд, он значительно увеличивает шансы на успешную сертификацию.

Выполнение теста (или проверки) ISO 27001 означает, что каждый, кто играет роль в СМИБ, должен проверить, действительно ли все, за что он / она отвечает, действительно функционирует в соответствии с требованиями стандарта и документацией компании.

Такой тест / проверка - это не то же самое, что внутренний аудит, потому что во время внутреннего аудита именно компания проходит проверку компании, в то время как я говорю здесь о том, что почти каждый сотрудник должен серьезно подумать, является ли он / она сделал действительно все, что требуется. Таким образом, вы не только уменьшаете вероятность того, что что-то пойдет не так, но и повышаете осведомленность своих сотрудников.

Все эти шаги могут показаться сложными, или вы можете считать их дорогостоящими накладными расходами. Но, поверьте мне, они служат своей цели - при правильной реализации вы увидите, что они действительно повысят ваш уровень информационной безопасности.

Автор: Dejan Kosutic