Get best of the week

不可避免地要通过ISO / IEC 27001认证的5个阶段。愤怒

对变化的情感反应的第二阶段是愤怒。这与我们为最初准备认证而遇到的困难而斗争的阶段相对应-这就是我们今天的故事。

图片

我们使用以下初始数据启动了证书的路径:

  • 认证条款:尽快;
  • 预算:越小越好(但要使一切都体面);
  • 团队:1.5-2人(项目经理+定期联系IT部门的人员和管理层);
  • 团队在信息安全领域的知识:一般。

图片

它看起来并不令人印象深刻,对吗?我们甚至都没有想到在工作过程中会遇到多少困难,以及必须做出多少严肃的决定。

我们什么都不知道!


主要困难之一是我们公司中没有人在信息安全领域拥有足够的专业知识。员工中没有任何人具有实施信息安全管理系统的任何专业证书或专业经验。这引起了严重的关注:我们将对此进行应对吗?也许我们首先需要一些培训?还是需要雇用已经有这样经验的人?

扰流板:
, 70 .

确实,您可以聘请顾问,但是如果我们自己对此一无所知,我们如何评估他的专业水平?

展望未来,我们可以说:即使有了这样的初始数据,问题仍然可以解决。最主要的是,团队要有逻辑,常识并清楚了解公司为何需要认证。

也许只是谷歌吗?


我们确实没有任何专业知识,但是在现代技术时代,几乎所有信息都是免费提供给我们的,甚至是很少的钱。因此,在项目开始时,我们认为我们可以轻松地找到所有必要信息,以便成功地在Internet上成功进行认证,以及轻松下载所有必要文件的样本。

实际上,一切都完全错误:

首先,原则上,我们不太了解“ Google”的具体需求。

其次,我们在公共领域发现的一切都非常模糊-没有细节,没有实际案例。

第三,我们在Internet上找到的所有文档样本与我们公司完全无关。即使是英文,也几乎没有易于理解的分步说明和成功通过认证的公司案例。因此,我们不得不自己摸索证书的出路。

您从哪端开始解开纠结?


经过在Internet上大量搜索信息之后,我们意识到对于初学者来说,我们应该决定:

  • 认证机构;
  • 认证顾问(因为我们确实不具备任何专业知识-您需要找到已经拥有专业知识的人);
  • 用于系统开发和维护的技术工具(在后续文章中,我们将更详细地介绍这一重要点)。

前两个是认证过程中的主要交易对手;应谨慎选择(我们这样做)。因此,我们决定重点关注的第一件事是举行两次招标,以选择这些关键对手方。

如何选择证书颁发机构?


当然,选择认证机构取决于提示您准备进行认证的原因。如果您来到本文中的这个位置,那么您可能不仅需要展示证书,还需要使用提供小时证书和一万卢布证书的公司的服务。因此,您应该关注具有广泛国际惯例并在您感兴趣的国家/地区获得认可的认证机构。

没有太多公司愿意根据ISO 27001标准在俄罗斯进行认证-我们选择了大约10个像样的参与者进行招标。选择的关键标准是:

  • 可获得国际认证,
  • 客户组合及其建议,
  • 价钱。

令人惊讶的是,在最后一点上,我们传播了近10倍但是,有些投标人说,他们只能向我们提供外国审计师。这自动意味着要通过英语进行认证审核,从原则上讲,这对我们来说不是什么大问题,因为所有关键员工都非常了解,但是对于某人而言,这肯定会成为问题。

后来我们了解到,在我国,很少有专家可以根据此标准进行认证审核。他们几乎都为多个认证机构工作,并且彼此熟悉。

如何选择认证准备顾问?


有很多公司提供其服务以准备认证。但是,并不是所有人都能真正提供帮助-实际上,其中一些只是将策略模板发送给您,您需要在其中插入公司名称的位置,而无需研究业务流程。自然,这种方法将对您的认证有所帮助。

从概念上讲,有两种解决方案:

  • 顾问准备所有交钥匙文件无疑,这种方法不会使您的员工负担过多的认证准备工作。但是,存在风险,您的过程和程序将无法得到充分记录。
  • 顾问检查您的员工准备的文件。在这里,文档的质量可能会更好,因为它将由熟悉流程的那些员工准备。

为了准备认证,我们在第二种情况下采取了行动。根据我们的经验,您可以提供一些选择认证顾问的提示:

图片

  • 向认证机构的顾问公司寻求建议,您正在其中进行招标-这就是我们找到我们的方法。
  • 事先协商并确定工作范围和范围,以及各方的责任。
  • 在准备认证的整个过程中,定期与顾问保持联系-这样可以节省时间,并且无需重做大量文档。

好吧,但是现在一切都好吗?


在收集准备认证所需的材料的过程中,发现了令人惊讶的事情。例如,ISO 27001与许多相关标准相关联(至少应该从表面上阅读)。

例如,这些标准是:

  • ISO 19011-审核管理系统准则
  • ISO 22301-业务连续性管理系统
  • ISO 31000-风险管理。原则和准则
  • ISO 27003-方法和安全手段。信息安全管理系统

上面的列表是基本的,但并不全面。每个公司都根据自己的需求来组建它。我们选择不“重新发明轮子”,例如,在风险管理和管理体系审核方面,我们分别依赖于ISO 31000和ISO 19011。支持标准ISO 27003帮助我们提供了有关27001实施的随附信息。但是最重要的是,我们与ISO 22301进行了合作,这对于描述负责业务连续性计划(BCP)的政策部分很有必要。

扰流板:
, .

蛋糕上的“樱桃”是在公共领域缺少这些标准的相关文本。如果您想熟悉这些内容,请在ISO网站上以1万卢布的价格购买官方文字。

多少钱?


在为项目开始做准备时,我们自然决定计算要花费多少认证费用。

扰流板
100 3 1 ( – ).
在我们的案例中,认证费用的一般结构如下:

-支付给认证机构的费用,
-支付给顾问准备认证的 费用, -
审计师的差旅费用,
-招待费,
-标记文件的费用(对于所有带有文件的文件夹,其中会计公司的数量惊人,我不得不贴上不同颜色的贴纸)
-购买标准正式文本
的成本-配备通往商务中心,ACS(访问控制和管理系统)公用区域的所有房间
的成本-软件成本( DLP系统,两因素授权的实施等),
-公司硬件的现代化(服务器和运营),
-数据中心的额外费用,
-参与认证的员工的工时。

图片

强烈建议您在预算中预留一个储备金,因为在启动该项目之前很难预测所有必要的成本。

因此,在认证项目开始时,我们经历了很大的愤怒-幸运的是,最终我们设法解决了这一问题。:)

另请阅读:

不可避免地要通过ISO / IEC 27001认证的5个阶段。拒绝:对ISO 27001:2013认证的误解,是否希望获得证书/是否
接受ISO / IEC 27001认证的5个阶段。昂热:从哪里开始?初始数据。花费。提供者的选择。

More articles:


All Articles