Как пройти сертификацию по ISO 27001?

Вы внедрили ISO 27001 в течение достаточно долгого времени, вложили немало средств в образование, консультации и внедрение различных средств контроля. Теперь приходит аудитор из органа по сертификации - вы пройдете сертификацию?

Этот вид беспокойства является нормальным - вы никогда не узнаете, есть ли в вашей СМИБ (системе управления информационной безопасностью) все, о чем просит орган по сертификации. Но что именно будет искать аудитор?

Во-первых, аудитор проведет аудит первой стадии, также называемый «проверкой документов» - в ходе этой проверки аудитор будет искать документированный объем, политику и цели СМИБ, описание методологии оценки риска, отчет об оценке риска, отчет о Применимость, План обработки рисков, процедуры контроля документов, корректирующие и предупреждающие действия и внутренний аудит. Вам также придется документировать некоторые элементы управления из Приложения A (только если вы нашли их применимыми в Заявлении о применимости) - инвентаризация активов, допустимое использование активов, роли и обязанности работников, подрядчиков и сторонних пользователей, условия найма, процедуры эксплуатации средств обработки информации, контроль доступа политика, и определение применимого законодательства. Кроме того, вам понадобятся записи как минимум одного внутреннего аудита и анализа со стороны руководства.

Если какой-либо из этих элементов отсутствует, это означает, что вы не готовы к 2-му этапу аудита. Конечно, вы можете иметь гораздо больше документов, если сочтете это необходимым - приведенный выше список является минимальным требованием.

Аудит этапа 2 также называется «Основной аудит», и обычно он проводится через несколько недель после аудита этапа 1. В этом аудите основное внимание будет уделено не документации, но если ваша организация действительно делает то, что ваша документация и ISO 27001 говорят, что вы должны делать. Другими словами, аудитор проверит, действительно ли ваша СУИБ материализовалась в вашей организации, или это всего лишь пустая буква. Аудитор проверит это путем наблюдения, собеседования с вашими сотрудниками, но главным образом путем проверки ваших записей. Обязательные записи включают образование, обучение, навыки, опыт и квалификацию, внутренний аудит, анализ со стороны руководства, корректирующие и профилактические действия; тем не менее, аудитор будет ожидать увидеть еще много записей в результате выполнения ваших процедур.

Пожалуйста, будьте осторожны - любой опытный аудитор сразу же заметит, является ли какая-либо часть вашей СМИБ искусственной и предназначена только для целей аудита.

Хорошо, вы знали все это, но это все же произошло - аудитор обнаружил серьезное несоответствие и сказал вам, что сертификат ISO 27001 не будет выдан. Это конец света?

Конечно, нет. Процесс идет следующим образом: аудитор должен указать результаты (включая основные несоответствия) в отчете о ревизии и указать срок, до которого несоответствие должно быть устранено (обычно 30 дней). Ваша задача - принять соответствующие корректирующие меры; но вы должны быть осторожны - это действие должно устранить причину несоответствия, иначе аудитор может не принять то, что вы сделали. Как только вы убедитесь, что предприняты правильные действия, вы должны уведомить аудитора и отправить ему / ей доказательства того, что вы сделали. В большинстве случаев, если вы тщательно выполнили свою работу, аудитор примет ваше корректирующее действие и активирует процесс выдачи сертификата.

Вот и все - прошло некоторое время, но теперь вы являетесь счастливым обладателем сертификата ISO / IEC 27001. (Тем не менее, будьте осторожны - сертификат действителен только в течение трех лет и может быть приостановлен в течение этого периода, если орган по сертификации обнаружит еще одно серьезное несоответствие в контрольных посещениях.)

Автор: Dejan Kosutic