З 25 листопада російськомовна версія AIN.UA не оновлюється. Читайте нас українською та англійською
UA RU EN
UA RU EN

Все о сертификатах ISO/IEC и почему они являются must have для IT-компаний в условиях войны

06 Сентября, 2022, 14:02
Читать на UA

Из-за масштабного вторжения России в Украину, IT-компании столкнулись с еще большей конкуренцией за клиентов. Сегодня, чтобы выжить, бизнесу нужно не только сохранить тех, кто уже ему доверяет, но и привлечь новых партнеров. Между тем, западные заказчики из-за войны стали еще более требовательными, так как сотрудничество с украинскими компаниями – это не только высокое качество услуг, но и фактор риска, как бы цинично это не звучало.

В этой статье мы рассмотрим, как сделать вашу компанию конкурентоспособной на рынке IT-услуг и консалтинга, минимизировать риски и завоевать доверие клиента на этапе знакомства.

Все эти пункты можно объединить одним словом – сертификация.

Что такое сертификация?

Клиент хочет видеть, что в условиях войны ваша компания способна продолжать работать и выполнять свои обязательства. Но не просто словами – на бумаге. Сертификация – это как гарантийный талон для клиента, который подтверждает соответствие вашего бизнеса международным стандартам и готовность к любым форс-мажорным обстоятельствам.

За разработкой и публикацией международных стандартов следит Международная организация по стандартизации (ISO). Они разрабатываются для разных сфер: медицины, кибербезопасности, экологического управления, потребления энергии и т. д. Согласно этим стандартам разрабатываются сертификаты, которые подтверждают соответствие компаний международным стандартам – и, следовательно, что таким компаниям можно доверять.

Для каждой сферы разработаны свои сертификаты. Все они разные и каждый охватывает соответствующую часть процессов. Для IT-сферы наиболее распространены стандарты ISO/IEC 27001, ISO/IEC 27701. Именно о них пойдет речь в этой статье.

Моя компания не имеет сертификата – и что?

Какое мороженое вы предпочтете купить? Любое в красивой упаковке или то, на котором есть знак соответствия ДСТу? Точно так же в бизнесе. Конечно, сертификация ISO является добровольной, и вы можете её не проходить. Но если вы хотите сотрудничать с крупными компаниями и брендами со всемирными именами, вам не избежать сертификации. Такие клиенты вряд ли доверят свои проекты первой попавшейся компании. Прежде чем начать переговоры, они спросят о наличии сертификатов.

По нашему опыту, ИТ-компании сталкиваются с проблемами из-за отсутствия сертификации уже на этапе тендерного отбора: европейские заказчики просто отказывают в возможности участия в тендере, если нет сертификатов ISO 9001 и ISO/IEC 27001. Для крупных заказчиков наличие у поставщика сертификата ISO/IEC 27001 – обязательное требование.

Наличие сертификатов ISO/IEC 27001 и ISO 9001 для американских и европейских IT-компаний – это основа. К этому добавляются более отраслевые и законодательные стандарты, такие как GDPR, SOC2 или PCI DCC и другие. Для украинских компаний, желающих работать с компаниями из США и ЕС, такие сертификаты – также must have. И вот почему.

Преимущества ISO/IEC 27001 для бизнеса

Повышение доверия партнеров и клиентов.

ISO/IEC 27001 – это подтверждение того, что система управления информационной безопасностью в компании находится под контролем. По крайней мере, разработаны базовые меры (если в ISO/IEC 27001 это меры управления информационной безопасностью, то в ISO/IEC 27701 это управление личными данными) реагирования на кризисные явления, и бизнес в надежных руках.

При успешном прохождении аудита и получении сертификата ISO/IEC 27001, компания получает существенное конкурентное преимущество: клиенты и сотрудники видят, что руководство реализует эффективное управление рисками, показывая при этом законность и прозрачность деятельности.

Сертификат признается на мировом уровне, что дает возможность выхода на зарубежные рынки и активного привлечения иностранных партнеров. В ЕС и США наличие сертификатов является нормой, а их отсутствие – соответственно, фактором риска.

Соответствие требованиям регуляторов, тендерных комитетов, законодательных органов.

Наличие стандарта часто является обязательным требованием тендеров, особенно если речь идет о госконтрактах. Также для легальной работы в разных странах требуется базовая сертификация. В большинстве случаев это покрывается ISO/IEC 27001, и компаниям не нужно выполнять повторные процедуры для соответствия этим требованиям.

Надежность и устойчивость вашего бизнеса.

Стандарт ISO/IEC 27001 рекомендует компании провести оценку информационных рисков и подготовить план минимизации этих рисков. Сертификация ISO/IEC 27001 обеспечивает основу для процессов управления информационной безопасностью и ключевых операционных элементов. В этом стандарте четко определены такие практики, как:

  • поддержка IT-систем в актуальном состоянии;
  • антивирусная защита;
  • хранение и резервное копирование данных;
  • управление изменениями в IT.

Как результат, процессы, необходимые для соответствия стандарту ISO/IEC 27001, приводят к улучшению документации и четким инструкциям, которым следует придерживаться для всего персонала, что дополнительно обеспечивает безопасность организации и ее устойчивость к кибератакам.

И все это вы получите и настроите в вашей компании в процессе подготовки к сертификации.

Как получить ISO/IEC 27001? 

Сертификат выдает сертификационный орган. Их множество, и они различаются уровнями аккредитации: например, есть немецкая аккредитация DAkkS, британская UKAS, американская IAS, ASCB. Часто для рынка ЕС необходима локальная европейская аккредитация, в США лучше будет американская аккредитация. Но при этом все аккредитации – взаимопризнанные.

Сам процесс сложный и может оказаться дорогостоящим. Это – не просто формальность, которую можно завершить за пару недель, так как результатом является фактически международный стандарт качества вашего бизнеса. В некоторых случаях сертификация занимает годы и стоит тысячи евро. Так как это происходит?

При проведении сертификации независимый сертификационный орган направляет в компанию аудиторов. Цель аудитора – подтвердить, что ваша компания соответствует требованиям выбранного вами стандарта.

Сертификация ISO/IEC 27001 проходит в два этапа:

  • Подготовка компании к сертификации. Срок подготовки зависит от уровня согласованности процессов в компании и может продолжаться от трех месяцев до двух лет. Этот этап включает:
    • обучение персонала;
    • проведение диагностического аудита (GAP-анализа) для понимания активов и информационных ресурсов компании, подготовка роуд-карты;
    • разработка политик и процедур, необходимых в стандарте (например, политики и цели информационной безопасности, реестр активов, оценка информационных рисков компании, политика управления персоналом, политика обеспечения физической безопасности, операционные процедуры для управления ИТ и многие другие);
    • большое внимание при разработке и аудите уделяется информационным активам компании: как они определены и защищены. Стандарт требует, чтобы были разработаны оценки рисков для этих активов и соответствующие планы минимизации рисков.
  • Проведение сертификации. Сам процесс занимает около 1-2 месяцев и включает в себя несколько этапов.
    • Например, для ISO/IEC 27001 на первом этапе происходит анализ документации и внутренний аудит. Если первый этап прошел успешно, планируется второй этап.
    • На втором этапе аудитор проводит интервью с персоналом и закрывает требования стандарта.

Оба этапа по стоимости и срокам зависят от сферы деятельности, количества персонала, количества физических локаций компании. Соответственно, и стоимость может быть очень разной – от 1 500 евро до бесконечности.

Поэтому, чем раньше компания получит сертификат – тем лучше. Пока она небольшая, будет проще разработать и внедрить все процессы. Затем это потребует больше времени, так как увеличивается количество персонала, и с ним все процессы в компании.

Сертификат выдается на 3 года, и каждый год проходит надзорный аудит. Компании нужно доказать, что она продолжает соответствовать требованиям стандарта.

Можно ли получить сертификацию в Украине? 

Конечно, есть сертификационные органы и в Украине, и выбор их довольно широкий. Лучше всего доверить этот процесс компании, которая имеет множество партнёров и репутацию на рынке.

Группа компаний Baltum Büroo – именно такая. Наши основные преимущества:

Baltum Büroo сотрудничает с несколькими сертификационными органами и является партнером международных компаний, таких как UNICERT (Немецкая аккредитация DAkkS), Swiss Approval (Швейцария, Американская аккредитация IAS), Bureau Veritas, URS (Аккредитация Великобритании (UKAS)) и другие. Большой список сертификационных органов, с которыми мы работаем напрямую в каждой локальной стране, позволяет нам предложить клиенту возможность выбора как сертификационного органа, так и подготовки компании к сертификации. Соответственно, стоимость услуг будет минимальной. Мы организуем сертификацию по всему миру, независимо от места нахождения или регистрации компании. Ведь часто бывает так, что операционный IT-бизнес расположен в Украине, но есть также представительства в других странах. Baltum охватывает все офисы. Большая команда с разнообразной экспертизой в разных стандартах (ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 20000-1, ISO 9001) позволяет удовлетворить любые потребности клиента, в том числе специфические. Мы очень адаптивны под клиента и его потребности. От выбора сертификата до выбора способов оплаты.

Какие еще есть сертификаты для ИТ-компании? 

Из-за войны многие компании переехали или открыли офисы в других странах. И они сталкиваются с тем, что партнеры просят подтвердить их уровень управления в различных аспектах. Чаще всего от наших клиентов требуют:

  • разработку BCP (план продолжения бизнеса);
  • оценку рисков и их минимизацию;
  • методы и инструменты управления инцидентами.

Это все требования стандарта ISO/IEC 27001. Но существуют и другие стандарты, типичные для ИТ сферы. Кратко рассмотрим их.

  • ISO/IEC 27001. Включает поддержку системы управления информационной безопасностью, оценку потенциальных рисков и выявление уязвимых зон, контроль и хранение информации, информирование сотрудников и сторонних подрядчиков о рисках и отчетность об инцидентах, мониторинг активности систем, контроль доступа к системам.
  • ISO/IEC 27701 ориентирован на систему управления личными данными. В частности, для организаций, которые уже соответствуют GDPR (Общий регламент по защите данных), большая часть требований и мер уже реализована, так как ISO 27701 во многом основан на правилах GDPR.
  • ISO 9001 является базовым стандартом для всех компаний. Включает требования, такие как управление документацией и персоналом, внутренние аудиты, корректирующие и предупреждающие действия.
  • ISO/IEC 20000-1. Этот стандарт включает требования ISO 9001 и ISO 27001. Он определяет управление ИТ-услугами как систему взаимосвязанных процессов и основан на ITIL. В стандарте рассматриваются такие процессы, как Service Delivery Processes, Capacity Management, Service Reporting, Information Security Management, Budgeting and Accounting for IT service и др. Консультанты Baltum Büroo помогут определить, какой стандарт будет оптимальным именно для вашей компании. Поэтому не откладывайте, инвестируйте в ISO – это залог светлого будущего вашего бизнеса.

В этой статье мы постарались максимально полно рассказать все, что нужно знать о сертификации в ИТ. Если у вас еще остались вопросы, наш консультант-аудитор Проскурня Кирилл проанализирует ваш бизнес и с удовольствием объяснит все детали. Кирилл имеет многолетний опыт в области ISO/IEC сертификации и помог десяткам ИТ-компаний успешно пройти этот сложный процесс.

Оставьте заявку уже сейчас – специалисты Baltum Büroo сделают предложение и будут сопровождать вас до успешной сертификации.

Нема подібних.

#
Оставить комментарий

Комментарии | 0

Реклама на AIN.UA
Медиакит Нативка Контакты
Подписаться
Есть новости? Написать нам
Поиск