Сертификация системы менеджмента информационной безопасности
Нет нужды упоминать особую ценность такого ресурса, как информация. Стоит только подчеркнуть, что современный бизнес в целом ряде технологичных отраслей немыслим без вдумчивого и системного подхода к хранению и использованию информации. Безусловно, технические моменты при выполнении этой задачи каждая компания для себя определяет самостоятельно. Тем не менее, общая концепция системы информационной безопасности уже давно сформулирована и доведена до оптимального уровня. Речь идет о стандарте ГОСТ Р ИСО/МЭК 27001-2006, который устанавливает требования к современной системе информационного управления. Упомянутый отечественный стандарт является аналогом международного стандарта ISO/IEC 27001:2005. По сути, это его копия, оптимизированная для наших условий.
Как и любой другой нормативный акт, формулирующий требования к продукту или сфере деятельности, ГОСТ Р ИСО/МЭК 27001-2006 предусматривает возможность подтверждения соответствия. При этом есть и существенное отличие от других стандартов в части форм подтверждения. Непосредственно ИСО/МЭК 27001-2006 не устанавливает способы подтверждения соответствия, предполагая добровольность исполнения норм стандарта. Но наиболее весомым подтверждением того, что организация обладает эффективной системой менеджмента информационной безопасности, является наличие документа выданного независимой сертификационной компанией.
Проведение сертификации системы менеджмента – это единственный способ в полной мере получить те преимущества, которые она дает. В частности, наличие сертификата, подтверждающего исполнение всех требований ГОСТ Р ИСО/МЭК 27001-2006, позволяет существенно повысить конкурентоспособность организации, улучшить отношения с надзорными органами. Кроме того, сертификат информационной безопасности может стать козырем в борьбе за тендер, а в ряде случаев, его наличие является условием участия компании в борьбе за контракт.
Оформление сертификата ГОСТ Р ИСО/МЭК 27001-2006
Безусловно, сертификация по ИСО в сфере информационной безопасности актуальна только для организаций занятых в отраслях, где эта самая информация представляет наибольшую ценность. К таким предприятиям относятся:
- научно-исследовательские институты;
- IT компании;
- банки и страховые компании;
- предприятия, чья работа связана с хранением баз данных с конфиденциальной информацией о клиентах;
- частные и государственные клиники;
- другие организации, работающие с информацией, представляющей практическую ценность.
Все вышеперечисленные организации относятся к числу наших потенциальных клиентов. Потому что рано или поздно возникнет необходимость закрепить существующую систему менеджмента документально. Для этого потребуется подать нашему специалисту заявление на проведение сертификации и предоставить всю необходимую документацию. Нам понадобятся:
- данные о заявителе;
- копии учредительных документов компании;
- структурная схема системы менеджмента информационной безопасности;
- сертификат системы менеджмента качества ИСО 9001 (при наличии);
- иная информация позволяющая доказать соответствие требованиям ГОСТ Р ИСО/МЭК 27001-2006.
Безусловно, траты времени на сбор документации и иных действий, связанных с оформлением сертификата можно свести на нет. Для чего достаточно заказать этот документ «под ключ». В этом случае участие заказчика в процессе оформления сводится к росписи в бланке о доставке сертификата курьерской службой. Время, как и информация не менее ценный ресурс.