Подготовка к сертификации ISO 27701

  • Защитите персональные данные.
  • Укрепите доверие.
  • Пройдите сертификацию ISO 27701 со 100% гарантией успеха
Получить консультацию Получить сертификацию ISO 27701
портфель из 320 проектов в информационной безопасности
Более 320 проектов
реализовано
Команда инженеров по иб
Более 250 инженеров
в команде
15 лет на рынке информационной безопасности
Более 15 лет
на рынке ИБ

Этапы подготовки к сертификации ISO 27701 можно выполнять параллельно. Это помогает оптимизировать сроки проекта.

Нажмите на этап, чтобы перейти к нему
6-8 недель
2-3 недели
2-4 недели
2-4 недели
2-4 недели
2-3 недели
3-6 недель
Подготовка к сертификации ISO 27701

Как работает ISO 27701

Стандарт ISO 27701 направлен на внедрение системы управления персональными данными – PIMS (Privacy Information Management System).

PIMS объединяет политики, процессы и роли, обеспечивая безопасную обработку персональной информации.

Какой результат Вы получите

  • Отчет о текущем уровне зрелости процессов обработки и защиты персональной информации (персональных данных);
  • План мероприятий по приведению компании в соответствие требованиям ISO IEC 27701;
  • Реестр рисков, влияющих на персональные данные, и рекомендации по их управлению;
  • «Живые» и рабочие документы PIMS (кто, что и как делает);
  • Сертификат ISO 27701 международного образца.

Зачем это нужно

ISO 27701 – международный стандарт. Он устанавливает требования к созданию, внедрению и улучшению системы управления персональными данными (с учетом принципов ISO 29100).

Сертификация ISO 27701 подтверждает: организация знает и понимает, как правильно работать и защищать персональную информацию

Что получает бизнес

  • повышение доверия клиентов и партнеров

    сертификат ISO 27701 показывает, что компания системно управляет обработкой и защитой персональной информации
  • рост конкурентоспособности

    реализация требований ISO 27701 часто дает преимущество в тендерах и при выходе на новые рынки
  • прозрачные процессы

    формируется полноценная система управления персональными данными. Появляется понятное распределение ролей и ответственности
  • управление рисками

    компания регулярно выявляет, оценивает и обрабатывает риски обработки персональных данных

Этапы работ по получению сертификации

1. Обследование

Что мы делаем:
  • Анализ бизнес- и ИТ-процессов, связанных с обработкой персональных данных;

  • Определение перечня активов;

  • Определение владельцев активов и зон ответственности;

  • Оценка соответствия процессов требованиям ISO/IEC 27701;

  • Определение области действия PIMS;

  • Формирование плана мероприятий;

  • Помощь с выбором органа по сертификации и организацией взаимодействия.

Оценка соответствия требованиям основной части стандарта ISO 27701:2025
Пример: оценка соответствия требованиям основной части стандарта ISO 27701:2025.
оценка соответствия требованиям Приложения А.1 стандарта ISO 27701:2025 контроллеров ПДн.
Пример: оценка соответствия требованиям Приложения А.1 стандарта ISO 27701:2025 контроллеров ПДн.
оценка соответствия требованиям Приложения А.3 стандарта ISO 27701:2025 контроллеров и процессоров ПДн.
Пример: оценка соответствия требованиям Приложения А.3 стандарта ISO 27701:2025 контроллеров и процессоров ПДн.

Артефакты на выходе:

  • отчет о соответствии ISO 27701;
  • реестр активов;
  • описание области действия PIMS;
  • план мероприятий подготовки к сертификации ISO 27701;
  • оценка сроков подготовки к аудиту.
Пример плана мероприятий ISO 27001
Пример: план мероприятий

2. Анализ рисков

Что мы делаем:
  • Разработка методики управления рисками;

  • Определение подхода к оценке рисков (качественный или количественный);

  • Идентификация рисков:
    • Top-down (от критичных бизнес-событий);
    • Bottom-up (от защищаемых активов);

  • Оценка рисков по ISO/EIC 27005 и ISO 31000;

  • Формирование плана обработки рисков;

  • Учет рисков в процессах компании.

Артефакты на выходе:

  • методика управления рисками;
  • результаты оценки рисков;
  • план мероприятий по обработке рисков;
  • цели PIMS;
  • заявление о применимости (Statement of Applicability).
Пример оценки рисков искусственного интеллекта
Пример: общий уровень рисков

3. Формализация процессов ИБ

Что мы делаем:
  • Анализ текущей документации и практик на соответствие ISO/IEC 27701;

  • Выявление пробелов. Устранение дублирующих и устаревших документов;

  • Выстраивание целевых процессов обработки персональных данных;

  • Разработка ролевой модели и закрепление зон ответственности;

  • Разработка и доработка документации PIMS (политики, процедуры, регламенты, инструкции);

  • Интеграция разработанных процедур в бизнес-процессы компании.

Артефакты на выходе:

  • полный комплект документов для сертификации ISO 27701;
  • формализованные процессы с закрепленными ролями и зонами ответственности

4. Внедрение

Что мы делаем:
  • Поддержка проектной команды по внедрению процессов PIMS;

  • Сопровождение изменений в бизнес-процессах компании;

  • Помощь в реализации новых и измененных процессов на практике;

  • Разработка записей по процессам PIMS (цели, программа аудитов, журналы и пр.);

  • Разработка метрик эффективности;

  • Корректировка локальных нормативных актов (при необходимости);

  • Подтверждение соответствия процессов требованиям утвержденной документации;

  • Обучение сотрудников вопросам защиты персональных данных;

  • Проведение тренингов и обучающих мероприятий;

  • Оценка уровня знаний сотрудников.

Артефакты на выходе:

  • функционирующие процессы PIMS;
  • подготовленные свидетельства, необходимые для прохождения аудита;
  • документированные процедуры, встроенные в операционную деятельность;
  • актуальные локальные нормативные акты;
  • программа обучения и повышения осведомленности;
  • результаты оценки знаний сотрудников.

5. Внутренний аудит

Что мы делаем:
  • Формирование программы и плана аудита;

  • Проведение интервью с сотрудниками;

  • Проведение «репетиции» сертификационного аудита;

  • Выявление несоответствий и зон улучшения;

  • Формирование корректирующих мероприятий.

Артефакты на выходе:

  • план и программа аудита;
  • отчет внутреннего аудита;
  • план корректирующих действий.

6. Сертификационный аудит

Что мы делаем:
  • Сопровождение на всех этапах сертификационного аудита;

  • Помощь в предоставлении документов аудиторам;

  • Координация взаимодействия с органом по сертификации;

  • Оперативная проработка замечаний аудиторов.

Артефакты на выходе:

  • отчет по результатам аудита;
  • сертификат соответствия ISO 27701;
  • готовая к развитию и улучшению система управления персональными данными.

7. План дальнейших действий

Что мы делаем:
  • Разработка корректирующих мероприятий по результатам аудита;

  • Формирование плана развития PIMS и подготовки к надзорному аудиту.

Артефакты на выходе:

  • корректирующие действия;
  • план развития PIMS;
  • программа аудитов;
  • план подготовки к надзорному аудиту.

Сроки и примерная стоимость получения сертификата ISO 27701

Важно: точные сроки и стоимость зависят от масштаба компании и количества систем в области сертификации ISO 27701. Также учитывается зрелость системы управления персональными данными и требуемая глубина сопровождения.
срок оказания услуги доверенный эксперт по КИИ

Срок реализации проекта — от 5 до 12 месяцев

стоимость услуги доверенный эксперт по КИИ

Примерная стоимость — от 2 млн. рублей

Практический результат для заказчика

После проекта компания получает:
  • Выстроенную систему управления персональной информацией;

  • Прозрачное распределение ответственности;

  • Работающие процессы, соответствующие ISO 27701;

  • Комплект документов и свидетельств для аудита;

  • Повышение доверия со стороны клиентов, успешное прохождение внешних аудитов и выход на новые рынки.

Получите перечень документов и свидетельств для сертификации по ISO 27701

Перечень документации, записей и артефактов по ключевым процессам управления персональными данными (PIMS) в соответствии с требованиями стандарта. С его помощью вы поймете, какие доказательства нужны для аудита.

FAQ

ISO 27701 – это международный стандарт. Он устанавливает требования к системе управления персональной информацией или персональными данными (Privacy information management systems – PIMS).

Сертификаты Infosecurity

Нам доверяют

Команда

Анна Заболотская
Специалист по ИБ – 4 года
Компетенции
  • Построение систем управления кибербезопасностью ИИ
  • Аудит и формализация процессов ИБ
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Сертификация ISO/IEC 27xxx
  • Автоматизация процессов ИБ
Евгений Завричко
Специалист по ИБ – 7 лет
Ведущий консультант – 5 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Моделирование угроз, проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса
Образование
ФГБОУ ВО «МГТУ им. Г. И. Носова»

Компетенции
  • Построение систем управления кибербезопасностью ИИ
  • Аудит и формализация процессов ИБ
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Сертификация ISO/IEC 27xxx
  • Автоматизация процессов ИБ

Релевантный опыт реализации
  • Построение систем управления кибербезопасностью ИИ – оценка процессов кибербезопасности ИИ-систем, моделирование угроз и оценка рисков кибербезопасности ИИ, формализация процессов управления ИИ.
  • Оценка соответствия и построение систем менеджмента ИБ на основе требований ISO/IEC 27xxx в компаниях различных отраслей – государственный сектор, ИТ-компании, облачные провайдеры, разработчики ПО.
  • Проведение оценки рисков ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Разработка документации по ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Проведение аудитов по ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Методологическое сопровождение внедрения GRC-систем.
Анна Заболотская
Специалист по ИБ – 4 года
Образование
ФГБОУ ВПО «Сыктывкарский государственный университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Моделирование угроз, проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ

Релевантный опыт реализации
  • Внедрение и сопровождение систем менеджмента ИБ в организациях из различных отраслей – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Проведение оценки рисков ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Разработка документации по ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Проведение аудитов по ИБ – ядерная энергетика, государственный сектор, разработчики ПО, авиаотрасль, облачные провайдеры;
  • Методологическое сопровождение внедрения GRC-систем.

Курсы и сертификаты
  • ISO/IEC 27001 Lead Auditor
  • ISO/IEC 27001 Lead Implementer


Евгений Завричко
Руководитель отдела систем менеджмента
Специалист по ИБ – 7 лет
Ведущий консультант – 5 лет
Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты
  • ISO/IEC 27001 LeadImplementer
  • ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации
  • Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
  • Методологическое сопровождение внедрения GRC-систем.
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Новости и события