Компанияда кардарлардын базалары, каржылык маалыматтар, коммерциялык сунуштар же баштапкы код бар болгондо, коопсуздук маселеси «жакшы болсо» дегенден «милдеттүү» деген деңгээлге өтөт. ISO 27001 маалыматтык коопсуздук стандарты боюнча сертификат өнөктөштөргө жана кардарларга сиз тобокелдиктерди туш келди эмес, системалуу түрдө башкарарыңызды көрсөтөт — бул унаадагы коопсуздук куру сыяктуу: көп учурда байкалбайт, бирок керектүү учурда сактап калат.
Эл аралык ISO 27001 стандарты (ISO/IEC 27001) маалыматтык коопсуздукту башкаруу системасына (СМИБ/ISMS) талаптарды аныктайт: адамдарга, процесстерге жана маалыматтарды агып кетүүдөн, үзгүлтүктөрдөн жана уруксатсыз жетүүдөн коргогон технологияларга. Казакстан, Өзбекстан, Грузия жана Кыргызстандагы компаниялар үчүн бул өзгөчө маанилүү, эгер сиз корпоративдик кардарлар, банктар, IT-аутсорсинг, сервистик борборлор, өндүрүш менен иштесеңиз же тендерлерге катышсаңыз.
ISO 27001 сертификациясы эмнени берет
Сертификат — бул дубалда илинип турган кагаз эмес, рынокко түшүнүктүү белги: тобокелдиктер эске алынган, жеткиликтүүлүктөр туураланган, инциденттер иштелип чыгат жана жоопкерчилик бекитилген. Адатта бизнес төмөнкүлөрдү алат:
- кардарлар жана эл аралык өнөктөштөр тараптан көбүрөөк ишеним;
- сатып алууларда жана комплаенс-текшерүүлөрдөн өтүүдө позициянын күчөшү;
- инциденттерден улам токтоп калуулар жана жоготуулар ыктымалдыгынын азайышы (процедуралар жана көзөмөл аркылуу);
- ачык эрежелер: ким, эмнеге жана эмне үчүн жеткиликтүү;
- башкарылуучулук: коопсуздук бир жолку «акция» эмес, туруктуу процесске айланат.
Кадам-кадам: ISO 27001 сертификатын кантип алуу керек
Процесс этаптар боюнча жүрсө, логикалуу жана алдын ала божомолдоого мүмкүн болот. Төмөндө — КМШ аймагында ЖЧК «Систем Менеджмент» кардарларды коштоп жүргөн типтүү жол картасы.
Баштоодон мурун СМИБдин (маалыматтык коопсуздукту башкаруу системасынын) чегин аныктоо маанилүү: кайсы бөлүмдөр, сервистер, филиалдар жана системалар сертификацияга кирет, ошондой эле максаттар жана критикалык активдер (маалыматтар, инфраструктура, персонал).
1) Диагностика (Gap-analysis): учурдагы абалды ISO 27001 талаптары менен салыштырып, иш планын бекитебиз.
2) Тобокелдиктерди баалоо: коркунучтарды, алсыз жактарды, ыктымалдуулукту жана зыянды аныктап, башкаруу чараларын тандайбыз.
3) Чараларды жана документтерди киргизүү: саясаттар, процедуралар, жеткиликтүүлүктү көзөмөлдөө, инциденттерди башкаруу, резервдик көчүрмөлөрдү түзүү, жеткирүүчүлөр менен иштөө ж.б.
4) Персоналды окутуу: эрежелер регламенттерде гана эмес, кызматкерлердин аң-сезиминде да иштеши үчүн.
5) Ички аудит жана жетекчилик тарабынан талдоо: тышкы текшерүүгө чейин системаны текшеребиз.
6) Сертификациялык аудит (Stage 1 / Stage 2): тышкы орган даярдыкты жана системанын иш жүзүндөгү иштөөсүн баалайт.
7) Сертификатты алуу жана андан кийинки көзөмөл: жыл сайын инспекциялык аудиттер жана 3 жылда бир жолу кайра сертификация.
Бул кадамдардан кийин сиз иштеп турган системага жана анын стандарт талаптарын чындап аткарып жатканын тастыктаган далилге ээ болосуз — жөн гана «белги үчүн» эмес.
Кайсы документтер жана практикалар көбүнчө талап кылынат
«Документтер» деген сөздөн коркуунун кереги жок: ISO 27001 папканын калыңдыгын эмес, башкарылуучулукту баалайт. Адатта төмөнкүлөр даярдалат жана/же жаңыртылат:
- маалыматтык коопсуздук саясаты жана максаттар;
- активдердин реестри жана маалыматтарды классификациялоо эрежелери;
- тобокелдиктерди баалоо методикасы жана тобокелдиктерди иштетүү планы;
- жеткиликтүүлүктү, сырсөздөрдү жана артыкчылыктарды башкаруу;
- инциденттерге жооп кайтаруу жана журнал жүргүзүү;
- резервдик көчүрмө түзүү жана калыбына келтирүү;
- жеткирүүчүлөрдү жана булут сервистерин башкаруу;
- үзгүлтүксүздүк/калыбына келтирүү планы (бизнестин масштабына жараша).
Мөөнөттөр жана баага эмне таасир этет
ISO 27001 сертификациясы адатта бир нече жума же бир нече айга созулат — бул компаниянын масштабына, процесстердин жетилгендигине жана тандалган сертификация чөйрөсүнө жараша болот (бир офис/компаниялар тобу, бир продукт/бардык сервистер). Бюджетке объекттердин саны, IT-ландшафттын татаалдыгы жана техникалык чараларды кошумча тууралоо зарылдыгы таасир этет.
Эмне үчүн коштоо өз алдынча киргизүүгө караганда пайдалуураак
ISO 27001ди өз күчүңүз менен да киргизсе болот, бирок көбүнчө бизнес үчүн ылдамдык жана талаптарды туура эмес түшүндүрүүдөн качуу маанилүүрөөк. ЖЧК «Систем Менеджмент» ашыкча бюрократиясыз жолду өтүүгө жардам берет: СМИБди чындап иштей тургандай кылып түзүү жана аудиттен ишенимдүү өтүү — түшүнүктүү ролдор, мөөнөттөр жана жыйынтык менен.
Эгер сиз Казакстан, Өзбекстан, Грузия же Кыргызстандагы компанияңыз үчүн баштапкы абалды жана так иш планын билгиңиз келсе — консультацияга өтүнмө калтырыңыз. ISO 27001 сертификатын кантип тезирээк алууга болорун жана кайсы кадамдар бизнесиңизге эң чоң эффект берерин айтып беребиз.