Подготовка к сертификации
ISO 27001 (ИСО 27001)

Полный комплекс работ — от подготовки до поддержки при прохождении аудита

Защитите данные. Укрепите доверие. Пройдите сертификацию ISO 27001 со 100% гарантией успеха
Получить консультацию Получить сертификацию ISO 27001
портфель из 320 проектов в информационной безопасности
Более 320 проектов
реализовано
Команда инженеров по иб
Более 250 инженеров
в команде
15 лет на рынке информационной безопасности
Более 15 лет
на рынке ИБ

Что такое подготовка к сертификации ISO 27001?

Подготовка к сертификации ISO/IEC 27001 - это процесс приведения системы управления информационной безопасностью компании в соответствие с требованиями международного стандарта. Он включает анализ текущего состояния, оценку рисков, разработку необходимых документов, внедрение процессов информационной безопасности и подготовку к прохождению сертификационного аудита.
Полный цикл сопровождения
Сопровождение экспертов на всех этапах — от плана подготовки до успешного прохождения аудита.
Оказываем поддержку во время прохождения сертификационного и надзорного аудитов.
Формирование корпоративной культуры
Стандарт формирует ответственность на всех уровнях. Сотрудники начинают осознанно относиться к информации как к ценному активу, процессы становятся прозрачными, предсказуемыми и основанными на управлении рисками.
Поддержка между аудитами
В интервале между аудитами организация должна выполнять ряд обязательных мероприятий как для поддержания работоспособности СУИБ, так для её совершенствования и предоставлять соответствующие документальные свидетельства.

Этапы подготовки к сертификации ISO 27001 могут выполняться параллельно,
что позволяет оптимизировать сроки реализации проекта

Нажмите на этап, чтобы перейти к нему
6-8 недель
2-3 недели
2-4 недели
2-4 недели
2-4 недели
2-3 недели
3-6 недель
Подготовка к сертификации ISO 27001

Какой результат Вы получите

  • Отчет об оценке зрелости ИБ и план мероприятий по приведению в соответствие требованиям стандарта ISO 27001;
  • Реестр рисков ИБ и рекомендации по управлению ими в рамках системы менеджмента информационной безопасности;
  • "Живые" и "работающие" документы по процессам ИБ (кто, что и как должен делать)
  • Сертификат ISO 27001 международного образца.

Зачем нужна сертификация ISO 27001

ISO 27001 – это международный стандарт управления информационной безопасностью, который помогает системно управлять рисками и защищать данные.

Соответствие требованиям стандарта 27001 ISO повышает уровень доверия со стороны клиентов и партнеров.

Структура ISO/IEC 27001

структура ISO/IEC 27001

Что получает бизнес после получения сертификата

  • повышение доверия клиентов и партнеров

    сертификат ISO 27001 подтверждает, что компания системно управляет вопросами ИБ
  • рост конкурентоспособности

    требования ISO 27001 часто становятся преимуществом в тендерах и при выходе на новые рынки
  • прозрачные процессы ИБ

    формируется СУИБ (система управления информационной безопасности). Появляется понятное распределение ролей, ответственности и контрольных процедур
  • управление рисками

    компания начинает регулярно выявлять, оценивать и обрабатывать риски ИБ

Этапы работ по получению сертификации

1. Обследование

Что мы делаем:
  • Анализ бизнес-процессов, процессов ИТ и ИБ;

  • Определение перечня используемых активов;

  • Оценка ценности активов (конфиденциальность, целостность, доступность);

  • Определение владельцев активов и зон ответственности;

  • Оценка текущего соответствия процессов ИБ требованиям ISO/IEC 27001 и ГОСТ Р ИСО МЭК 27001;

  • Определение области действия СУИБ;

  • Формирование плана мероприятий по достижению соответствия;

  • Помощь с выбором органа по сертификации и организацией взаимодействия.

Пример: Оценка соответствия требованиям основной части стандарта ISO 27001:2022.
Пример: оценка соответствия требованиям основной части стандарта ISO 27001:2022.
Пример: Оценка соответствия требованиям Приложения А стандарта ISO 27001:2022.
Пример: оценка соответствия требованиям Приложения А стандарта ISO 27001:2022.

Артефакты на выходе:

  • отчет о соответствии ISO 27001;
  • реестр активов;
  • описание области действия СУИБ;
  • план мероприятий подготовки к сертификации ISO 27001;
  • оценка сроков подготовки к аудиту.
Пример плана мероприятий ISO 27001
Пример: план мероприятий

2. Анализ рисков

Что мы делаем:
  • Разработка методики управления рисками ИБ;

  • Определение подхода к оценке рисков (качественный, количественный);

  • Идентификация рисков по подходам:
    • Top-down (от критичных бизнес-событий);
    • Bottom-up (от защищаемых активов);

  • Оценка рисков на основе международных подходов (ISO/IEC 27005, ISO 31000);

  • Формирование плана обработки рисков;

  • Интеграция риск-ориентированного подхода в процессы компании.

Артефакты на выходе:

  • методика управления рисками ИБ;
  • результат оценки рисков;
  • план мероприятий по обработке рисков;
  • цели СУИБ;
  • заявление о применимости контролей (Statement of Applicability).
Пример оценки рисков искусственного интеллекта
Пример: общий уровень рисков

3. Формализация процессов ИБ

Что мы делаем:
  • Анализ текущей документации и практик на соответствие ISO/IEC 27001;

  • Выявление пробелов, дублирующих и устаревших документов;

  • Выстраивание целевых процессов ИБ;

  • Разработка ролевой модели и закрепление зон ответственности;

  • Разработка и доработка комплекта документации СУИБ (политики, процедуры, регламенты, инструкции);

  • Интеграция документированных процедур в бизнес-процессы компании.

Артефакты на выходе:

  • полный комплект документации, необходимый и достаточный для прохождения сертификации по ISO 27001;
  • формализованные процессы ИБ с закрепленными ролями и ответственностью.

4. Внедрение

Что мы делаем:
  • Консультирование проектной команды и сотрудников подразделений по вопросам внедрения процессов и мер ИБ в соответствии с ISO 27001;

  • Сопровождение внедрения изменений в существующие бизнес-процессы в соответствии с разработанной документацией;

  • Поддержка применения процессов ИБ в операционной деятельности;

  • Разработка записей по процессам ИБ (цели ИБ, программа аудитов, журналы и пр.);

  • Разработка метрик эффективности;

  • Корректировка локальных нормативных актов по результатам внедрения (при необходимости);

  • Подтверждение соответствия процессов требованиям утвержденной документации;

  • Разработка программы обучения и повышения осведомленности работников в области ИБ;

  • Проведение тренингов и обучающих мероприятий;

  • Оценка уровня знаний сотрудников в области информационной безопасности.

Артефакты на выходе:

  • функционирующие процессы СМИБ;
  • подготовленные свидетельства для аудита, необходимые и достаточные для прохождения аудита;
  • документированные процедуры, встроенные в операционную деятельность;
  • актуализированные локальные нормативные акты;
  • программа обучения и повышения осведомленности;
  • результаты оценки знаний сотрудников.

5. Внутренний аудит

Что мы делаем:
  • Формирование программы и плана аудита;

  • Проведение интервью с сотрудниками;

  • Проведение «репетиции» сертификационного аудита;

  • Выявление несоответствий и зон улучшения;

  • Формирование корректирующих мероприятий.

Артефакты на выходе:

  • план и программа аудита;
  • отчет внутреннего аудита;
  • план корректирующих действий.

6. Сертификационный аудит

Что мы делаем:
  • Сопровождение на всех этапах сертификационного аудита;

  • Помощь в предоставлении документов аудиторам;

  • Координация взаимодействия с органом по сертификации;

  • Оперативная проработка замечаний аудиторов.

Артефакты на выходе:

  • отчет по результатам аудита;
  • сертификат соответствия ISO 27001;
  • готовая к развитию и улучшению система управления ИБ.

7. План дальнейших действий

Что мы делаем:
  • Разработка корректирующих мероприятий по результатам аудита;

  • Формирование плана развития СУИБ и подготовки к надзорному аудиту.

Артефакты на выходе:

  • корректирующие действия;
  • план развития СУИБ;
  • программа аудитов;
  • план подготовки к надзорному аудиту.

Сроки и стоимость получения сертификата ISO 27001

Важно: точные сроки и стоимость зависят от масштаба компании, числа систем в области действия сертификации ISO 27001, зрелости ИБ-процессов и требуемой глубины сопровождения.
срок оказания услуги доверенный эксперт по КИИ

Срок реализации проекта — от 2 месяцев

стоимость услуги доверенный эксперт по КИИ

Примерная стоимость — от 1 млн. рублей

Ваша организация будет готова к прохождению сертификационного аудита со стороны любых международных органов по сертификации, предъявляющих самые строгие требования в ходе проверки, в том числе TÜV Austria, IRCLASS, Bureau Veritas.

Результат выполненных работ

  • Выстроенную систему управления ИБ;

  • Прозрачное распределение ответственности между ИТ и ИБ;

  • Работающие процессы, соответствующие ISO 27001;

  • Комплект документов и свидетельств для сертификационного аудита;

  • Повышение доверия со стороны клиентов, успешное прохождение внешних аудитов и выход на новые рынки.

Получите перечень документов и свидетельств, необходимых для сертификации для ИСО 27001

Перечень документации, свидетельств и артефактов, структурированный по ключевым процессам и контролям информационной безопасности в соответствии с требованиями стандарта. С помощью этого перечня вы сможете понять, какие именно доказательства необходимы для прохождения сертификационного аудита

FAQ

ИСО 27001 – Это один из ключевых международных стандартов по информационной безопасности, определяющий требования к СУИБ. Стандарт разработан для того, чтобы помочь организациям внедрить процессы и средства контроля для управления рисками информационной безопасности, что обеспечивает эффективное управление кибербезопасностью и защитой информации.

Сертификаты Infosecurity

Нам доверяют

Команда

Евгений Завричко
Специалист по ИБ – 7 лет
Ведущий консультант – 5 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Моделирование угроз, проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса
Эмилия Феер
Опыт в сфере ИБ
Специалист по ИБ – 2 года
Компетенции
  • Проведение внешнего аудита ИБ
  • Внедрение систем менеджмента ИБ
  • Сертификация ISO/IEC 27xxx
  • Повышение осведомлённости в области ИБ
Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты
  • ISO/IEC 27001 LeadImplementer
  • ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации
  • Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
  • Методологическое сопровождение внедрения GRC-систем.
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Образование
ФГБОУ ВПО «Сыктывкарский государственный университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Моделирование угроз, проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ

Курсы и сертификаты
  • КУРСЫ И СЕРТИФИКАТЫ
  • ISO/IEC 27001 Lead Auditor
  • ISO/IEC 27001 Lead Implementer

Релевантный опыт реализации
  • Внедрение и сопровождение систем менеджмента ИБ в организациях из различных отраслей – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Проведение оценки рисков ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Разработка документации по ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Проведение аудитов по ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Методологическое сопровождение внедрения GRC-систем.
Евгений Завричко
Специалист по ИБ – 7 лет
Ведущий консультант – 5 лет
Образование
Алтайский государственный университет

Компетенции
  • Проведение внешнего аудита ИБ
  • Внедрение систем менеджмента ИБ
  • Сертификация ISO/IEC 27xxx
  • Повышение осведомлённости в области ИБ

Курсы и сертификаты
  • Certified Information Systems Auditor (CISA)
  • Certified in Risk and Information Systems Control (CRISC)
  • ISO/IEC 27001 Lead Auditor

Релевантный опыт реализации
  • Оценка соответствия и построение систем менеджмента ИБ на основе требований сертификации ISO/IEC 27xxx для крупных организаций из различных отраслей.
  • Планирование и проведение аудиторских проверок бизнес-процессов и информационных систем.
  • Разработка нормативной и организационно-распорядительной документации для организаций в соответствии с требованиями сертификации ISO/IEC 27xxx.
Эмилия Феер
Опыт в сфере ИБ
Специалист по ИБ – 2 года

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Новости и события