КАК ПОДГОТОВИТЬСЯ К СЕРТИФИКАЦИИ ПО ГОСТ Р ИСО/МЭК 27001

ТДА Системс готовит к сертификации по ГОСТ Р ИСО/МЭК 27001

КАК ПОДГОТОВИТЬСЯ К СЕРТИФИКАЦИИ ПО ГОСТ Р ИСО/МЭК 27001

 

Сегодня информационная безопасность в компании является не только совокупностью технических средств, но и представляет собой системный подход к работе как с активами организации, так и с информацией. Каждое предприятие по-разному видит свое взаимодействие с этой системой.

Раз Вы читаете эту статью, то скорее всего, уже задумывались о внедрении системы ГОСТ Р ИСО/МЭК 27001 в Вашей компании. И, очевидно, поняли, что процесс внедрения системы небыстрый и непростой. Однако есть определенные шаги, следуя которым Вы в определенной мере сможете облегчить себе и своим коллегам процесс внедрения системы.

Сегодня мы бы хотели более подробно поговорить об основных этапах сертификации по системе ГОСТ Р ИСО/МЭК 27001 в компании.

Первый момент – необходимо заручиться поддержкой топ-менеджмента компании. Руководителям необходимо осознавать важность внедрения системы и быть готовыми к тому, сколько человеческих и материальных ресурсов может потребоваться при работе с таким проектом.

Далее необходимо детально распланировать проект: нужно корректно распределить человеческие и материальные ресурсы и следить за соблюдением сроков – иначе работа по проекту может тянуться годы.

Следующим важным шагом станет определение границы сертификации. Если у вас большая компания с множеством подразделений, возможно, есть смысл подвергнуть сертификации не все, а лишь некоторые из них.

Далее нужно задуматься о разработке политики информационной безопасности компании. Это один из самых важных документов, в котором будет четко отражено, чего руководители организации стремятся достичь в сфере информационной безопасности и каким образом планируют осуществлять контроль над этими процессами.

После этого стоит приступить к решению одной из сложнейших задач – нужно определить правила оценки рисков и управления ими, ведь без этих правил система ИБ попросту не будет работать. Но здесь важно не переусердствовать с процессом оптимизации и при разработке вышеназванных мер руководствоваться принципом минимальной достаточности.

На следующем этапе нужно тщательно оценить и обработать риски. Для этого удобнее вести реестр рисков информационной безопасности. Вообще, этот процесс должен стать регулярным – это поможет корректно распределить ресурсы организации и минимизировать возникновение цифровых опасностей. Если высокие риски все-таки возникают, необходимо вносить их в план обработки рисков, где будут зафиксированы корректирующие действия, сроки их выполнения, а также ответственные за выполнение данной работы сотрудники.

Далее необходимо определить параметры, по которым в дальнейшем будет измеряться прогресс в достижении целей для СУИБ.

Наконец, после того, как вышеописанные шаги были претворены в жизнь, пришло время внедрять средства управления информационной безопасностью в бизнес-процессы компании. Но люди обычно сопротивляются новым правилам и процедурам, поэтому важно донести до сотрудников, почему так важно внедрение системы ИБ на Вашем предприятии, как это может облегчить им работу и какую пользу может принести.

То есть следующий шаг – организация обучения сотрудников компании. Не стоит пренебрегать этим шагом, ведь отсутствие понимания персоналом новых процессов и их целей на предприятии является одной из самых распространённых причин провала при внедрении ГОСТ Р ИСО/МЭК 27001.

После того, как внедрение средств ИБ и обучение сотрудников закончилось, начинается этап поддержания и мониторинга процессов системы информационной безопасности. Данный этап очень важен при прохождении внешнего аудита – специалист непременно затребует у Вас записи, чтобы доказать, что система действительно функционирует в Вашей компании.

Но перед выходом на внешнюю сертификацию также необходимо провести и внутренний аудит, по большей части, чтобы увидеть, как функционирует система в организации и выполняют ли работники правила. Это делается не для того, чтобы выявить ошибки и наказать виноватых, а для того, чтобы исправить текущие несоответствия и предотвратить их появление в будущем. В этом впоследствии поможет и введение системы корректирующих действий.

ГОСТ Р ИСО/МЭК 27001, как и любой другой стандарт не статичен и требует постоянного совершенствования. Конечно, внедрить целую систему на предприятии – задача не из лёгких, даже следуя плану выше, да и занимает этот процесс порой больше времени, чем было рассчитано. Но несмотря на все сложности, внедрение системы управления международной безопасностью даст Вашей компании конкурентное преимущество как на российском рынке, так и за рубежом.

Специалисты компании ООО ТДА-Системс будут рады помочь Вам корректно выполнить все шаги, описанные выше и подготовят Вашу компанию к прохождению сертификации на соответствие системе ГОСТ Р ИСО/МЭК 27001.

 

Мы ВКонтакте

Присоединяйтесь! Следите за анонсами мероприятий, задавайте вопросы нашим экспертам, комментируйте и получайте полезную информацию.

Мы в Telegram

Подписывайтесь! Участвуйте в акциях, получайте скидки и читайте новости в мире пищевого производства в нашем Телеграм канале.

Задать вопрос

Задайте вопрос нашему эксперту. Специалист ответит на него в рубрике Вопрос-Ответ, а также, вам в личном сообщении по электронной почте.

Другие новости

Компания ООО "ТДА Системс"