Как да се подготвим за сертификация по ISO 27001?

Как да се подготвим за сертификация по ISO 27001?
Ако мислите, че за да получите сертификат за сигурност на информацията, съгласно ISO 27001 е достатъчно да попълните купчина с документи, грешите. Трябва стриктно да изпълнявате всички дейности, описани в документацията, но това не е всичко - трябва да осъществите някои стъпки в последната фаза на Вашия проект за сертификация по стандарта.

Задължителни стъпки за внедряването на ISO 27001

След като подготвите цялата документация и внедрите системата, трябва да изпълните следните стъпки:
  • Вътрешен одит;
  • Преглед от ръководството;
  • Коригиращи действия.
Целта на вътрешния одит е независим одитор (експерт) да провери дали Вашата система за управление на информационната сигурност (ISMS) работи правилно.
Прегледът от ръководството всъщност е формален начин, по който ръководството да анализира всички релевантни факти за информационната сигурност и да вземе подходящи решения.
В крайна сметка компанията трябва да коригира всички проблеми, открити от вътрешните одитори, мениджъри или друг, и да документира как тези проблеми са били решени - този процес се нарича коригиращи действия.
 
Как да тестваме прилагането на ISO 27001?
Преди да предприемете тези задължителни стъпки, е полезно да проверите дали всичко е налице. Тази стъпка не се изисква от ISO 27001 (поне не по такъв изричен начин), но значително увеличава шансовете за успешно сертифициране.
Извършването на ISO 27001 тест (или проверка) означава, че всеки, който има роля в ISMS, трябва да провери дали дейностите, за които носи отговорност, действително се изпълняват така, както се изисква от стандарта и от документацията на компанията.
Тази проверка се различава от вътрешния одит, защото по време на вътрешния одит одиторът минава през фирмата, като проверява дейностите, а по време на ISO 27001 теста всеки служител трябва да помисли дали той/тя е направил наистина всичко, което е необходимо. По този начин не само ще намалите шансовете нещо да се обърка, но и ще повишите информираността на служителите си.
Всички тези стъпки може да изглеждат сложни или като скъпоструващи разходи. Но ако се прилагат правилно, ще видите, че те действително ще повишат нивото на информационна сигурност в компанията.
 
И така вече прилагате ISO 27001, инвестирали сте много в образованието, консултирането и внедряването на различни механизми за контрол. Сега идва моментът за сертификационен одит - ще преминете ли сертификацията?
Нормално е да сте притеснени - никога не е ясно дали Вашата система за управление на информационната сигурност (ISMS) разполага с всичко, което изисква сертифициращият орган. Но какво точно ще търси одиторът?
 
Процес на сертифициране по ISO 27001
Да започнем първо със самия процес на сертифициране - той е разделен на две стъпки: одит на етап 1 и етап 2.
Първо, одиторът ще извърши етап 1 от одита, преглед на документацията, – на този етап той ще търси документирания Обхват, Политиката и целите на организацията, описание на методологията за Оценка на риска, Доклада за оценка на риска, Декларацията за приложимост, План за управление на риска, Процедури за контрол на документите, Коригиращи действия, Доклад от вътрешен одит, както и Политиките за сигурност на информацията. Също така ще трябва да документирате някои от механизмите за контрол от приложение А (само ако сте ги открили като приложими в декларацията за приложимост) – Политика по сигурност на информацията (5.2), Политика за мобилните устройства (A.6.2.1), Политика за контрол на достъпа (A.9.1.1), Политика за използване на криптографски механизми за контрол (A.10.1.1), Политика за чисто бюро и чист екран (A.10.2.9), Политика за сигурно разработване (A.14.2.1), Политика за сигурността на информацията при взаимоотношения с доставчици (A.15.1.1), Политика за резервиране на информацията (A.12.3.1).
 
Ако някой от тези елементи липсва, това означава, че не сте готови за етап 2 от одита. Разбира се, може да създадете много повече документи, ако сметнете, че това е необходимо - горният списък представя минималните изисквания. Трябва да обърнете внимание на писането документация, която е подходяща и съответстваща на Вашите нужди, както и на действителното ангажиране на ръководството и служителите с информационната сигурност във Вашата компания.
 
Етап 2 от одита е основният етап и обикновено се провежда няколко седмици след етап 1. В този одит фокусът няма да бъде върху документацията, но само ако Вашата организация спазва изискванията на ISO 27001 и описаните в документацията процедури и политики. С други думи, одиторът ще провери дали системата ISMS наистина се осъществява във Вашата организация, или е само на хартия. Одиторът ще провери това чрез наблюдение, интервюирайки Вашите служители, но най-вече чрез проверка на Вашите записи. Задължителните записи включват Компетентност, образование, обучение, опит (7.2), Вътрешен одит (9.2), Преглед от ръководството (9.3), Несъответствия и коригиращи действия (10.1). Въпреки това, одиторът по-скоро ще очаква да види записи в резултат на изпълнението на Вашите процедури.
Моля бъдете внимателни - всеки опитен одитор ще забележи веднага, ако която и да е част от Вашата ISMS е изкуствена и се прави само за целите на одита.
 
Наясно сте с всичко това, но все пак се случва - одиторът установява сериозно несъответствие и заявява, че сертификат ISO 27001 няма да бъде издаден. Дошъл ли е краят на света?
Със сигурност не. Процесът протича по следния начин - одиторът ще посочи констатациите (включително основното несъответствие) в одиторския доклад и ще Ви даде краен срок за отстраняване на несъответствието (обикновено 90 дни). Вашата задача е да предприемете подходящи коригиращи действия; но трябва да внимавате - това действие трябва да отстрани причината за несъответствието, в противен случай одиторът може да не приеме това, което сте направили. След като сте сигурни, че са предприети правилните действия, трябва да уведомите одитора и да му изпратите доказателства за това, което сте направили. В повечето случаи, ако сте свършили работата си изцяло, одиторът ще приеме Вашето коригиращо действие и ще активира процеса на издаване на сертификата.
Честито! Отнема известно време, но в крайна сметка наградата е сертификат по ISO/IEC 27001. (Бъдете внимателни - сертификатът е валиден само за три години и може да бъде спрян през този период, ако сертифициращият орган идентифицира друго сериозно несъответствие по време на посещенията за наблюдение.)

Новини

28 Юни 2019
С решение на Правителството 29 юни е обявен за Ден на безопасността на...
03 Юни 2019
Корупцията е широко разпространено явление в световен мащаб. Тя поражда сериозни...

Полезно

18 Април 2019
Нараняванията по пътищата са една от водещите причини за смърт в световен мащаб,...
13 Март 2019
Ако мислите, че за да получите сертификат за сигурност на информацията, съгласно...