Сьогодні ми живемо у динамічному світі, де IT-галузь продовжує стрімко розвиватися, а рівень конкуренції стає дедалі інтенсивнішим. Компанії намагаються не просто виділитися з-поміж інших, але й підтвердити високу якість послуг та ефективність управління безпекою інформації. Реалізація та отримання сертифікатів згідно зі стандартами ISO 9001, ISO 27001, ISO 27701 виступають важливими етапами для досягнення цих задач. Особливо це стає актуальним, враховуючи вимоги західних замовників, які зростають. Для них співпраця з українськими IT-компаніями означає не лише гарантію якості, але й певний рівень ризику, що вимагає додаткових гарантій та впевненості.

Своїм досвідом щодо організації та проходження сертифікації поділиться провідний аудитор ISO 27001, ISO 27701, ISO 9001 з компанії Baltum Bureau Кирило Проскурня.

Зображення надано Baltum Bureau

Що таке сертифікація

Сертифікація – це як гарантійний талон для клієнта, який підтверджує відповідність вашого бізнесу міжнародним стандартам, а ще готовність до будь-яких форс-мажорів.

Розробкою й публікацією міжнародних стандартів опікується «Міжнародна організація зі стандартизації» (ISO). Їх розробляють для різних сфер: медицини, кібербезпеки, управління довкіллям, енергоспоживання тощо. Згідно з цими стандартами розробляють сертифікати, які є підтвердженням відповідності компаній міжнародним стандартам, це означає, що таким компаніям можна довіряти.

Для кожної сфери розроблені свої сертифікати. Всі вони різні, кожен покриває відповідну частину процесів. Для ІТ-сфери найпоширенішими є стандарти ISO/IEC 27001, ISO/IEC 27701, ISO 9001.

ISO 9001: Якість та управління послугами

Стандарт ISO 9001 встановлює вимоги до системи управління якістю, забезпечуючи компанії рамки для ефективного задоволення потреб клієнтів. Як підкреслюється у нашій статті для AIN.UA «Все про ISO/IEC сертифікати та чому вони must-have для IT-компаній у умовах війни», у часи криз та невизначеності, сертифікація ISO 9001 виступає додатковою гарантією для клієнтів у тому, що компанія може забезпечити високий рівень обслуговування незалежно від зовнішніх обставин.

ISO 27001: Інформаційна безпека та захист персональних даних

З іншого боку, ISO 27001 є стандартом, що визначає вимоги до системи управління інформаційною безпекою (ISMS), надає компаніям методологію захисту конфіденційності, цілісності та доступності інформації. У нашій іншій статті AIN.UA «Нова версія стандарту ISO/IEC 27001:2022 – чим ІТ-компаніям корисний цей стандарт та як його впровадити» наголошується на важливості адаптації до нових вимог стандарту, що дозволяє IT-компаніям не тільки ефективно управляти ризиками, але й підвищувати довіру клієнтів та партнерів.

Роль сертифікації у міжнародній співпраці

Для українських IT-компаній, сертифікація за міжнародними стандартами не лише засіб підтвердження якості та надійності перед вітчизняними клієнтами, але й ключовий елемент у виході на міжнародні ринки. Враховуючи вимоги до прозорості та безпеки, які постійно зростають, сертифікати ISO/IEC 27001, ISO/IEC 27701 та інші стають реальною конкурентною перевагою, що відкриває двері до співпраці з великими замовниками з Європи та США. Вони не тільки підтверджують відповідність високим міжнародним стандартам, але й демонструють готовність компанії до довгострокових та надійних партнерських відносин.

Тренди та майбутнє сертифікації в IT

З огляду на швидкі зміни у технологічному середовищі та постійне оновлення стандартів, IT-компанії мають бути готовими до постійного навчання та адаптації. Нові версії стандартів, такі як ISO/IEC 27001:2022, вимагають від компаній не лише одноразового зусилля для досягнення відповідності, але й постійного підтримання та вдосконалення своїх систем управління інформаційною безпекою.

Окрім цього, стандарти, які набирають популярності, такі як ISO/IEC 20000-1:2018, що встановлює вимоги до системи управління послугами у галузі інформаційних технологій. Та нещодавно випущений ISO/IEC 42001:2023, зосереджений на інформаційних технологіях та ШІ, вказують на розширення сфери застосування сертифікації. Це підкреслює важливість адаптації до новітніх технологічних та управлінських трендів для забезпечення конкурентоспроможності та відповідності до сучасних міжнародних вимог. У міру того, як IT-ландшафт продовжує еволюціонувати, зростає і значення сертифікації для підтвердження експертизи в нових областях, таких як штучний інтелект, що відкриває нові можливості для розвитку та інновацій.

Досвід наших партнерів у впровадженні та сертифікації за стандартами ISO 9001, ISO/IEC 27001, ISO/IEC 27701, GDPR, SOC2:

Досвід наших партнерів IT-компаній також свідчить про важливість сертифікації. Наприклад, Jelvix спеціалізується на розробці програмного забезпечення підкреслює, як сертифікація ISO 9001 допомогла їм підвищити ефективність процесів та задоволеність клієнтів. ALLSTARSIT зазначає, що отримання сертифікату ISO 27001 стало ключовим кроком у підтвердженні їх зобов’язання перед клієнтами забезпечувати високий рівень інформаційної безпеки. Agiliway та WhiteBIT також поділилися позитивним впливом сертифікації на свою діяльність, зокрема на покращення внутрішніх процедур та збільшення довіри з боку клієнтів.

Jelvix

«У Jelvix ми завжди прагнемо до вдосконалення та дотримання найвищих стандартів якості. Впровадження та сертифікація за стандартами ISO 9001, ISO 27001, ISO 27701 та ISO 13485 стали значним кроком у забезпеченні високої якості наших послуг та безпеки інформації. Це не тільки покращило наші внутрішні процеси, але й зміцнило довіру наших клієнтів та партнерів. Ми вдячні за можливість демонструвати нашу відданість високим стандартам управління якістю та безпекою даних» – розповіли у компанії.

ALLSTARSIT

ALLSTARSIT раді поділитись досвідом в процесі впровадження та успішному отриманні сертифікації ISO 27001:

«Завдяки стандарту ISO 27001 ми значно удосконалили наші процедури в галузі інформаційної безпеки, збільшили продуктивність наших робочих процесів і реалізували глибокий комплексний захист даних. Сертифікація ISO 27001 не лише стала підтвердженням наших зусиль, але й відкрила перед нами нові горизонти для розвитку та експансії».

Agiliway

«Високі стандарти безпеки завжди були і будуть пріоритетом для Agiliway. Тому ми з гордістю відзначаємо наші досягнення у отриманні сертифікацій за міжнародними стандартами ISO 27001 та ISO 9001. Ці заходи сприяли не лише оптимізації наших бізнес-процесів та покращенню системи управління якістю, але й зміцнили систему інформаційної безпеки. Підвищення ефективності нашої роботи і забезпечення ще більшого рівня захисту клієнтських даних – це ті зобовʼязання, які ми виконуємо перед партнерами. Сертифікація за цими стандартами підтверджує політику надання високоякісних послуг і забезпечення захищеного середовища для наших клієнтів. Ці кроки стали запорукою побудови міцних і довготривалих бізнес-відносин з існуючими та новими партнерами» – розповіли про досвід сертифікації Agiliway.

WhiteBIT

«Для WhiteBIT впровадження та сертифікація за стандартами ISO 27001, та ISO 27701 стали важливим етапом на шляху до лідерства у сфері фінтеху та криптовалют. Отримання цих сертифікацій є підтвердженням нашої здатності забезпечувати надійний захист інформації та надавати послуги найвищої якості. Це також демонструє нашу прихильність до виконання міжнародних стандартів управління та безпеки, що значно зміцнює довіру наших клієнтів та партнерів та сприяє сталому розвитку нашого бізнесу» – поділились досвідом у WhiteBIT.

Як отримати ISO/IEC 27001

Сертифікат видає сертифікаційний орган. Їх велика кількість, відрізняються вони рівнями акредитації: наприклад, є німецька DAkkS, британська UKAS, американська IAS, ASCB. Часто для ринку ЄС необхідна локальна європейська акредитація, у США доцільніше буде американська акредитація. Але при цьому усі акредитації – взаємопізнанні.

Cам процес непростий і може виявитися недешевим. Це не просто формальність, яку можна закрити за пару тижнів, адже результатом є фактично міжнародний стандарт якості бізнесу. У деяких випадках сертифікація займає роки і коштує тисячі євро. То як це відбувається?

Процес ділиться на дві окремих складових

1. Підготовка компанії до сертифікації. Термін підготовки залежить від рівня злагодженості процесів у компанії і може тривати від трьох місяців до двох років. Цей етап включає: 

  • навчання персоналу;
  • проведення діагностичного аудиту (GAP аналізу) для розуміння активів та інформаційних ресурсів компанії, підготовка роад карт;
  • розробку політик та процедур, необхідних у стандарті (наприклад, політики та цілі інформаційної безпеки, реєстр активів, оцінка інформаційних ризиків компанії, політика управління персоналом, забезпечення фізичної безпеки, операційні процедури для управління ІТ та багато інших);
  • велика увага при розробці та аудиті виділяється інформаційним активам компанії: як вони визначені та захищені. Стандарт вимагає, щоб були розроблені оцінки ризиків для цих активів та відповідно плани мінімізації ризиків.
  • Звичайно, у компаніях можуть і самостійно впроваджувати всі ці етапи роботи, якщо мають певний ресурс.

2. Проведення сертифікації. Сам процес займає близько один-два місяці та включає декілька стадій. Наприклад, для ISO/IEC 27001, ISO 9001 на першій стадії відбувається аналіз документації і внутрішній аудит. Якщо перша стадія пройшла успішно, то планується друга. На ній аудитор проводить співбесіду з персоналом та закриває вимоги стандарту.

Обидва етапи по вартості і термінам залежать від сфери діяльності, кількості персоналу, кількості фізичних локацій компанії. Відповідно, вартість може бути дуже різною. 

Зображення надано Baltum Bureau

Які ще є сертифікати для ІТ-компанії?

Через війну багато компаній релокувалися, або відкрили офіси чи представництва в інших країнах. І вони зіштовхуються з тим, що партнери просять підтвердити їх рівень управління у різних аспектах. Найчастіше від наших клієнтів вимагають: 

  • розробку BCP (план безперервності бізнесу);
  • оцінку ризиків та їх мінімізацію;
  • методи та інструменти управління інцидентами.

Це все є вимогою стандарту ISO/IEC 27001. Але є й інші стандарти, типові для ІТ-сфери. Коротко розглянемо їх.

  • ISO/IEC 27001. Включає підтримку системи управління інформаційною безпекою, оцінку потенційних ризиків і виявлення вразливих зон, контроль і зберігання інформації, що інформує співробітників і сторонніх підрядників про ризики і звітність про інциденти, моніторинг активності систем, контроль доступу до систем.
  • ISO/IEC 27701 орієнтовано на систему управління персональними даними. Зокрема, для організацій, які вже дотримуються GDPR (загальні правила захисту даних), більша частина вимог та заходів вже реалізована, оскільки ISO 27701 значною мірою ґрунтується на правилах GDPR.
  • ISO 9001 є основним стандартом для всіх компаній. Включає такі вимоги як управління документацією, персоналом, внутрішні аудити, коригувальні та попереджувальні дії.
  • ISO/IEC 20000-1 включає вимоги ISO 9001 і ISO 27001. Він визначає управління ІТ-послугами як систему взаємопов’язаних процесів і заснований на ITIL. Розглядаються у стандарті такі процеси як Service Delivery Processes, Capacity Management, Service Reporting, Information Security Management, Budgeting and Accounting for IT service, etc).

Також наша компанія активно працює над отриманням акредитацій за такими стандартами, як ISO/TS 23526:2023, що стосується аспектів безпеки цифрових валют, та ISO/IEC 42001:2023, який зосереджений на інформаційних технологіях та штучному інтелекті. 

Якщо у вас виникли додаткові запитання, наш головний аудитор Кирило Проскурня готовий провести аналіз вашого бізнесу і надати детальні роз’яснення. Завдяки значному досвіду у сферах сертифікації ISO 27001, ISO 27701 та ISO 9001, Кирило допоміг численним IT-компаніям подолати виклики цього складного процесу.

Крім того, якщо ваша компанія має намір пройти навчання з останніх версій стандарту, розробити або оновити документацію, чи отримати сертифікацію – залишайте заявку на консультацію. Спеціалісти BALTUM зроблять особисту пропозицію та будуть супроводжувати протягом усього шляху сертифікації.