Skip to content

ISO 27001 sertifikatını necə əldə etmək olar və o, biznesinizə nə üçün lazımdır

  • by
ISO 27001 sertifikatını necə əldə etmək olar və o, biznesinizə nə üçün lazımdır

Şirkətdə müştəri bazaları, maliyyə məlumatları, kommersiya təklifləri və ya mənbə kod olduqda, təhlükəsizlik məsələsi “yaxşı olardı”dan “mütləqdir”ə çevrilir. ISO 27001 informasiya təhlükəsizliyi standartı üzrə sertifikat tərəfdaşlara və sifarişçilərə göstərir ki, siz riskləri sistemli şəkildə idarə edirsiniz, “bəxtə-bəxt” yox — avtomobildə təhlükəsizlik kəməri kimi: çox vaxt hiss olunmur, amma lazım olan anda xilas edir.

Beynəlxalq ISO 27001 standartı (ISO/IEC 27001) informasiya təhlükəsizliyi idarəetmə sisteminə (İTİS/ISMS) tələbləri müəyyən edir: məlumatları sızmalardan, nasazlıqlardan və icazəsiz girişdən qoruyan insanlar, proseslər və texnologiyalar üçün. Qazaxıstan, Özbəkistan, Gürcüstan və Qırğızıstandakı şirkətlər üçün bu xüsusilə актуальdır, əgər siz korporativ müştərilərlə, banklarla, İT autsorsinqi ilə, servis mərkəzləri ilə, istehsalatla işləyirsinizsə və ya tenderlərdə iştirak edirsinizsə.

ISO 27001 sertifikatlaşdırması nə verir

Sertifikat divardan asılan kağız deyil, bazar üçün aydın siqnaldır: risklər nəzərə alınıb, girişlər tənzimlənib, insidentlər işlənir və məsuliyyət müəyyən edilib. Adətən biznes aşağıdakıları əldə edir:

  • müştərilər və beynəlxalq tərəfdaşlar tərəfindən daha çox etibar;
  • satınalmalarda və kompilyans yoxlamalarından keçərkən mövqelərin güclənməsi;
  • insidentlər səbəbindən dayanma və itkilər riskinin azalması (prosedurlar və nəzarət hesabına);
  • şəffaf qaydalar: kim nəyə və niyə girişə malikdir;
  • idarəolunanlıq: təhlükəsizlik birdəfəlik “aksiya” yox, prosesə çevrilir.

Addım-addım: ISO 27001 sertifikatını necə əldə etmək olar

ISO 27001 sertifikatlaşdırması nə verirProses mərhələlərlə gedəndə məntiqli və proqnozlaşdırıla biləndir. Aşağıda — MDB-də “Sistem Menecment” MMC-nin müştəriləri adətən müşayiət etdiyi tipik yol xəritəsi verilib.

Başlamazdan əvvəl İTİS-in (ISMS) sərhədlərini müəyyən etmək vacibdir: sertifikatlaşdırmaya hansı bölmələrin, servislərin, filialların və sistemlərin daxil olduğu, həmçinin məqsədlər və kritik aktivlər (məlumatlar, infrastruktur, heyət).

1) Diaqnostika (Gap-analysis): mövcud vəziyyəti ISO 27001 tələbləri ilə müqayisə edirik və iş planını formalaşdırırıq.

2) Risklərin qiymətləndirilməsi: təhdidləri, zəiflikləri, ehtimalı və zərəri müəyyən edirik; idarəetmə tədbirlərini seçirik.

3) Tədbirlərin və sənədlərin tətbiqi: siyasətlər, prosedurlar, girişə nəzarət, insidentlərin idarə edilməsi, ehtiyat nüsxələmə, təchizatçılarla iş və s.

4) Heyətin təlimi: qaydaların təkcə reqlamentlərdə deyil, həm də “başlarda” işləməsi üçün.

5) Daxili audit və rəhbərlik tərəfindən təhlil: xarici yoxlamadan əvvəl sistemi yoxlayırıq.

6) Sertifikasiya auditi (Stage 1 / Stage 2): xarici orqan hazırlığı və sistemin real işləməsini qiymətləndirir.

7) Sertifikatın alınması və sonrakı nəzarət: illik nəzarət (inspeksiya) auditləri və hər 3 ildən bir yenidən sertifikatlaşdırma.

Bu addımlardan sonra siz işlək bir sistem və onun standart tələblərini həqiqətən yerinə yetirdiyinə dair təsdiq əldə edirsiniz — “formallıq üçün” yox.

Hansı sənədlər və praktikalar daha çox lazım olur

“sənədlər” sözündən qorxmağa dəyməz: ISO 27001 qovluğun qalınlığını yox, idarəolunanlığı qiymətləndirir. Adətən aşağıdakılar hazırlanır və/və ya aktuallaşdırılır:

  • informasiya təhlükəsizliyi siyasəti və məqsədlər;
  • aktivlərin reyestri və məlumatların təsnifatı qaydaları;
  • risklərin qiymətləndirilməsi metodikası və risklərin emalı planı;
  • girişlərin, parolların və imtiyazların idarə edilməsi;
  • insidentlərə reaksiya və jurnallaşdırma (loglama);
  • ehtiyat nüsxələmə və bərpa;
  • təchizatçıların və bulud servislərinin idarə edilməsi;
  • fasiləsizlik/bərpa planı (biznesin miqyasına uyğun).

Müddətlər və qiymətə nə təsir edir

ISO 27001 sertifikatlaşdırması adətən bir neçə həftədən bir neçə aya qədər çəkir — bu, şirkətin miqyasından, proseslərin yetkinliyindən və seçilən sertifikatlaşdırma sahəsindən asılıdır (bir ofis / bütün şirkətlər qrupu, bir məhsul / bütün servislər). Büdcəyə sahələrin sayı, İT landşaftının mürəkkəbliyi və texniki tədbirlərin əlavə tənzimlənməsi ehtiyacı təsir edir.

Niyə müşayiət “özünüz” etməyə nisbətən daha sərfəlidir

ISO 27001-i öz gücünüzlə tətbiq etmək mümkündür, amma çox vaxt biznes üçün daha vacibi sürət və tələblərin şərhində səhvlərin olmamasıdır. “Sistem Menecment” MMC bu yolu artıq bürokratiyasız keçməyə kömək edir: İTİS-i elə qurmaq ki, o, real işləsin və audit inamla keçsin — aydın rollar, müddətlər və nəticə ilə.

Əgər Qazaxıstan, Özbəkistan, Gürcüstan və ya Qırğızıstanda sizin şirkətiniz üçün start nöqtəsini və konkret fəaliyyət planını anlamaq istəyirsinizsə — konsultasiya üçün müraciət göndərin. ISO 27001 sertifikatını daha tez necə əldə etməyi və biznesiniz üçün ən böyük effekti verən addımların hansılar olduğunu izah edəcəyik.

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

“Sistem Menecment” ТОО ISO-nun beynəlxalq standartlarına uyğun olaraq — ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 27701, ISO 50001, ISO 13485 və digərləri daxil olmaqla — məsləhət xidmətlərinin göstərilməsi, təlim və idarəetmə sistemlərinin sertifikatlaşdırılması üzrə ixtisaslaşır.

Missiyamız idarəetmə sistemlərinin hazırlanması və sertifikatlaşdırılması sahəsində yüksək keyfiyyətli xidmətlər göstərmək, həmçinin hər bir müştərinin unikal tələbləri və biliklərinə uyğunlaşdırılmış səmərəli və çevik həllərdən istifadə etməklə müştərilərimizə real fayda təqdim etməkdir.

E-poçt:
info@bcert.org

Telefon:

+37253686541

WhatsApp:

+37253686541

“Ticket to Online” şirkəti tərəfindən hazırlanıb

AZ
RU EN RO KK UZ TR KY FA HY KA AZ