Зачем нужен ISO 27001
ISO/IEC 27001 — международный стандарт управления информационной безопасностью (СМИБ). Для казахстанских организаций сертификация повышает доверие партнёров, обеспечивает соответствие требованиям регуляторов и систематизирует управление рисками ИБ.
Roadmap внедрения
Этап 1: GAP-анализ (2-4 недели)
Оценка текущего состояния ИБ относительно требований стандарта. Выявление несоответствий и формирование плана устранения.
Этап 2: Оценка рисков (3-4 недели)
Идентификация информационных активов, угроз и уязвимостей. Оценка вероятности и потенциального ущерба. Разработка плана обработки рисков.
Этап 3: Разработка документации (4-6 недель)
Политика ИБ, процедуры, регламенты, Положение о применимости (SoA). Документация должна отражать реальные процессы организации.
Этап 4: Внедрение (8-12 недель)
Реализация технических и организационных мер. Обучение персонала. Внедрение процессов мониторинга и управления инцидентами.
Этап 5: Внутренний аудит (2-3 недели)
Проверка соответствия внедрённой СМИБ требованиям стандарта. Выявление и устранение несоответствий до сертификационного аудита.
Этап 6: Сертификационный аудит
Двухэтапный аудит аккредитованным органом по сертификации. Этап 1 — проверка документации, этап 2 — проверка на месте.
Средний срок от начала проекта до получения сертификата ISO 27001 — от 6 до 12 месяцев в зависимости от размера и зрелости организации.