Через повномасштабне вторгнення росії в Україну ІТ-компанії стикнулися з ще більшою конкуренцією за клієнтів. Сьогодні, щоб вижити, бізнес має не лише втримати тих, хто вже йому довіряє, але й залучити нових партнерів. Між тим, західні замовники через війну стали ще більш вимогливими, адже співробітництво з українськими компаніями – це не лише висока якість послуг, але й фактор ризику, як би цинічно це не звучало.

У цій статті ми розберемо, як зробити вашу компанію конкурентною на ринку ІТ-послуг та консалтингу, нівелювати ризики та завоювати довіру клієнта ще на етапі знайомства. 

Всі ці пункти можна обʼєднати одним словом – сертифікація.

Що таке сертифікація 

Клієнт хоче бачити, що в умовах війни ваша компанія здатна працювати далі і виконувати свої зобовʼязання. Та не просто на словах – на папері. Сертифікація – це як гарантійний талон для клієнта, який підтверджує відповідність вашого бізнесу міжнародним стандартам, а ще – готовність до будь-яких форс мажорів.

Розробкою й публікацією міжнародних стандартів опікується Міжнародна організація зі стандартизації (ISO). Їх розробляють для різних сфер: медицини, кібербезпеки, управління довкіллям, енергоспоживання тощо. Згідно з цими стандартами розробляють сертифікати, які є підтвердженням відповідності компаній міжнародним стандартам – а отже, що таким компаніям можна довіряти.

Для кожної сфери розроблені свої сертифікати. Всі вони різні і кожен покриває відповідну частину процесів. Для ІТ-сфери найпоширенішими є стандарти ISO/IEC 27001, ISO/IEC 27701. Саме про них піде мова у цій статті. 

Але для початку давайте зʼясуємо, чи так вже вони потрібні?

У моєї компанії немає сертифікату – і що?

Яке морозиво ви радше купите? Будь-яке у красивій обгортці, чи те, на якому є позначка відповідності ДСТУ? Так само і в бізнесі. Звичайно, сертифікація ISO є добровільною, ви можете її не робити. Але якщо ви хочете співпрацювати з великими компаніями та брендами зі світовими іменами, сертифікації не уникнути. Такі клієнти навряд чи довірять свої проекти першій ліпшій компанії. Перш ніж перейти до переговорів, вони спитають за сертифікати.

З нашого досвіду, ІТ-компанії страждають через відсутність сертифікації вже на етапі тендерного відбору: європейські замовники просто відмовлять у можливості участі в тендері, якщо немає сертифікатів ISO 9001 та ISO/IEC 27001. У великих замовників наявність у постачальника сертифікату ISO/IEC 27001 – обов’язкова вимога. 

Наявність сертифікатів ISO/IEC 27001 та ISO 9001 для американських та європейських IT-компаній – це база. Вже додатково йдуть більш галузеві та законодавчі стандарти, наприклад GDPR, SOC2 чи PCI DCC та інші. Для українських компаній, які хочуть працювати з компаніями зі США та ЄС, такі сертифікати – також must have. І ось чому.

Переваги ISO/IEC 27001 для бізнесу

Підвищення довіри партнерів та клієнтів

ISO/IEC 27001 – це підтвердження того, що система управління інформаційної безпеки в компанії знаходиться в керованих умовах. Як мінімум розроблені базові заходи (якщо в ISO/IEC 27001 це заходи управління інформаційною безпекою, то в ISO/IEC 27701 це вже управління персональними даними) реагування на кризові явища, а отже бізнес в надійних руках. 

При успішному проходженні аудиту та отриманні сертифіката ISO/IEC 27001, компанія отримує значну конкурентну перевагу: клієнти та співробітники бачать, що керівництво реалізує ефективне управління ризиками, демонструючи в тому числі законність і прозорість діяльності. 

Сертифікат визнається на світовому рівні, що дає можливість виходу на іноземні ринки та активного залучення зарубіжних партнерів. В ЄС і США наявність сертифікатів є нормою, а їх відсутність – відповідно, фактор ризику.

Відповідність вимогам регуляторів, тендерних комітетів, законодавчих органів 

Наявність стандарту часто є обовʼязковою вимогою тендерів, особливо якщо мова йде про держконтракти. Також для легальної роботи в різних країнах вимагається базова сертифікація. У більшості випадків це покривається ISO/IEC 27001, і компаніям не потрібно виконувати вторинні процеси для відповідності цим вимогам.

Надійність та сталість вашого бізнесу

Стандарт ISO/IEC 27001 рекомендує, щоб компанія провела оцінку інформаційних ризиків та підготувала план мінімізації цих ризиків. Сертифікація ISO/IEC 27001 забезпечує основу для процесів управління інформаційною безпекою та ключових операційних елементів. У цьому стандарті чітко визначено такі практики, як: 

  • підтримка IT-систем в актуальному стані;
  • антивірусний захист;
  • зберігання та резервне копіювання даних;
  • керування змінами в IT. 

Як результат, процеси, необхідні для відповідності стандарту ISO/IEC 27001, призводять до покращення документації та чітких інструкцій, яких слід дотримуватися для всього персоналу, що додатково забезпечує безпеку організації та її стійкість до кібератак.

І все це ви отримаєте та налаштуєте у вашій компанії в процесі підготовки до сертифікації.

Як отримати ISO/IEC 27001

Сертифікат видає сертифікаційний орган. Їх велика кількість, відрізняються вони рівнями акредитації: наприклад, є німецька акредитація DAkkS, Британська UKAS, Американська IAS, ASCB. Часто для ринку ЄС необхідна локальна європейська акредитація, в США краще буде американська акредитація. Але при цьому всі акредитації – взаємопізнанні.

Сам процес непростий і може виявитися недешевим. Це – не просто формальність, яку можна закрити за пару тижнів, адже результатом є фактично міжнародний стандарт якості вашого бізнесу. В деяких випадках сертифікація займає роки і коштує тисячі євро. То як це відбувається? 

При проведенні сертифікації незалежний сертифікаційний орган направляє у компанію аудиторів. Ціль аудитора – підтвердити, що ваша компанія відповідає вимогам обраного вами стандарту.

Сертифікація ISO/IEC 27001 проходить у два етапи: 

  • Підготовка компанії до сертифікації. Термін підготовки залежить від рівня злагодженості процесів у компанії, і може тривати від трьох місяців до двох років. Даний етап включає: 
    • навчання персоналу;
    • проведення діагностичного аудиту (GAP аналізу) для розуміння активів та інформаційних ресурсів компанії, підготовка роад карт;
    • розробку політик та процедур, необхідних в стандарті (наприклад, політики та цілі інформаційної безпеки, реєстр активів, оцінка інформаційних ризиків компанії, політика управління персоналом, політика забезпечення фізичної безпеки, операційні процедури для управління ІТ та багато інших);
    • велика увага при розробці та аудиті виділяється інформаційним активам компанії: як вони визначені та захищені. Стандарт вимагає, щоб були розроблені оцінки ризиків для цих активів і відповідно плани мінімізації ризиків.
  • Проведення сертифікації. Сам процес займає близько 1-2 місяців і включає в себе кілька стадій. 
    • Наприклад, для ISO/IEC 27001 на першій стадії відбувається аналіз документації і внутрішній аудит. Якщо перша стадія пройшла успішно, то планується друга стадія. 
    • На другій стадії аудитор проводить співбесіду з персоналом і закриває вимоги стандарту.

Обидва етапи по вартості і термінам залежать від сфери діяльності, кількості персоналу, кількості фізичних локацій компанії. Відповідно, і вартість може бути дуже різною – від 1 500 євро до безкінечності. 

Тому, чим раніше компанія отримає сертифікацію – тим краще. Поки вона невелика, буде легше розробити та імплементувати усі процеси. Потім це вимагатиме більше часу, так як збільшується кількість персоналу, а з ним і всі процеси в компанії.

Сертифікат видається на 3 роки та кожен рік проходить наглядовий аудит. Компанії треба довести, що вона продовжує відповідати вимогам стандарту. 

Чи можна отримати сертифікацію в Україні?

Звичайно, є сертифікаційні органи і в Україні – і їх вибір чималий. Найліпше довірити цей процес компанії, яка має велику кількість партнерів та репутацію на ринку. 

Група компаній Baltum Büroo – саме така. Наші основні переваги:

  • Baltum Büroo працює з кількома сертифікаційними органами і є партнером міжнародних компаній, таких як UNICERT (Німецька акредитація DAkkS), Swiss Approval (Швейцарія, Американська акредитація IAS), Bureau Veritas, URS (Акредитація Великої Британії (UKAS)) та інші. 
  • Велика лінія сертифікаційних органів, з якими ми працюємо напряму в кожній локальній країні, дозволяє нам запропонувати клієнту можливість вибору як сертифікаційного органу, так і підготовки компанії до сертифікації. Відповідно вартість послуг буде мінімальною
  • Ми організовуємо сертифікацію по всьому світу, незалежно від місця знаходження чи реєстрації компанії. Адже часто буває так, що операційний ІТ-бізнес знаходиться в Україні, але є також представники в інших країнах. Baltum Büroo покриває всі офіси.
  • Велика команда з різноманітними експертизами в різних стандартах (ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 20000-1, ISO 9001) дозволяє закрити будь-які потреби клієнта, у тому числі специфічні.
  • Ми дуже адаптивні під клієнта та його потреби. Від вибору сертифіката до вибору способів оплати.

Які ще є сертифікати для ІТ-компанії?

Через війну багато компаній релокувалися або відкрили офіси в інших країнах. І вони стикаються з тим, що партнери просять підтвердити їх рівень управління в різних аспектах. Найчастіше від наших клієнтів вимагають: 

  • розробку BCP (план безперервності бізнесу);
  • оцінку ризиків та їх мінімізацію;
  • методи та інструменти управління інцидентами.

Це все є вимогою стандарту ISO/IEC 27001. Але є й інші стандарти, типові для ІТ сфери. Коротко розглянемо їх.

  • ISO/IEC 27001. Включає підтримку системи управління інформаційною безпекою, оцінку потенційних ризиків і виявлення вразливих зон, контроль і зберігання інформації, що інформує співробітників і сторонніх підрядників про ризики і звітність про інциденти, моніторинг активності систем, контроль доступу до систем.
  • ISO/IEC 27701 орієнтовано на систему управління персональними даними. Зокрема, для організацій, які вже дотримуються GDPR (Загальні правила захисту даних), більша частина вимог та заходів вже реалізована, оскільки ISO 27701 значною мірою ґрунтується на правилах GDPR.
  • ISO 9001 є основним стандартом для всіх компаній. Включає такі вимоги як управління документацією і персоналом, внутрішні аудити, коригувальні та попереджувальні дії.
  • ISO/IEC 20000-1. Даний стандарт включає вимоги ISO 9001 і ISO 27001. Він визначає управління ІТ-послугами як систему взаємопов’язаних процесів і заснований на ITIL. Розглядаються у стандарті такі процеси як Service Delivery Processes, Capacity Management, Service Reporting, Information Security Management, Budgeting and Accounting for IT service, etc).

Консультанти Baltum Büroo допоможуть визначитися, який стандарт буде оптимальним саме для вашої компанії. Тож не зволікайте, інвестуйте в ISO – це запорука світлого майбутнього вашого бізнесу.


У цій статті ми постаралися максимально повно розповісти все, що потрібно знати про сертифікацію в ІТ. Якщо у вас ще залишились питання, наш консультант-аудитор Кирило Проскурня проаналізує ваш бізнес та з радістю пояснить усі деталі. Кирило має багаторічний досвід в сфері ISO/IEC сертифікації та допоміг десяткам ІТ-компаній успішно пройти через цей непростий процес.

Залишайте заявку вже зараз – спеціалісти Baltum Büroo зроблять пропозицію та будуть супроводжувати вас аж до успішної сертифікації.