Сертификат ГОСТ Р ИСО/МЭК 27001-2021
Под этим названием обычно понимают сертификат соответствия системы менеджмента информационной безопасности требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Такой сертификат оформляют на добровольной основе по правилам 184‑ФЗ «О техническом регулировании»: внешний орган по сертификации оценивает, как организация управляет рисками ИБ, доступом, инцидентами, обработкой активов, документированными процедурами и постоянным улучшением системы. Сертификат подтверждает зрелость СМИнБ, но не заменяет требования конкретных регуляторов, договорные обязательства по ИБ, аттестации, внедрение конкретных технических мер защиты и иные специальные процедуры, если они обязательны для вашей отрасли.
*обычно включает анализ границ системы, структуру документов, подготовку к аудиту и сопровождение первичного цикла для типовой организации.
По рынку первичная сертификация по ISO/IEC 27001 / ГОСТ Р ИСО/МЭК 27001-2021 для малого и среднего бизнеса часто находится в диапазоне 28 000–110 000 ₽; для финтеха, интеграторов, облачных сервисов и распределённых инфраструктур стоимость выше.
Типовой цикл включает определение границ системы, инвентаризацию активов, оценку рисков, политику и цели ИБ, распределение ролей, процедуры управления инцидентами, доступом и изменениями, внутренний аудит, корректирующие действия, аудит 1-й стадии, аудит 2-й стадии и последующие надзорные аудиты. Отдельно обычно проверяют, работает ли система на практике, а не только в комплекте документов.
Кому это обычно полезно
- IT-компаниям, SaaS- и cloud-сервисам, интеграторам, дата-центрам и аутсорсинговым командам;
- финансовым, телеком- и сервисным организациям, где критичны защита данных, доступов и устойчивость процессов;
- компаниям, участвующим в тендерах и работе с крупными заказчиками, где требуется зрелая система управления ИБ.
Что важно подготовить до сертификации
- границы системы, перечень активов, владельцев процессов и модель рисков;
- политику ИБ, процедуры управления доступом, инцидентами, резервированием, изменениями и поставщиками;
- записи по внутренним аудитам, анализу со стороны руководства, корректирующим действиям и обучению;
- подтверждение фактической работы процессов, а не только наличие формальных документов.
Связанные направления
Сертификат ГОСТ Р ИСО 22301 · сертификат ГОСТ Р ИСО 9001 · добровольная сертификация.
ИнтерГОСТ
Поможем определить границы СМИнБ, собрать комплект документов, подготовиться к внешнему аудиту и пройти сертификацию по ГОСТ Р ИСО/МЭК 27001-2021 без лишних итераций. Напишите нам или оставьте заявку ниже.
Информация справочная. Перед стартом работ стоит отдельно сверить применимые требования к ИБ для вашей отрасли, границы системы, облачную или on-prem инфраструктуру, подрядчиков, а также реальные сценарии инцидентов и рисков, которые должна покрывать ваша система.
