Оцінка відповідності та впровадження системи управління інформаційною безпекою за стандартом ISO 27001

У галузі Консультаційні послуги

Система управління інформаційною безпекою (СУІБ) – потужний та ефективний засіб, який базується на ризик-орієнтованому підході, та пропагує практику постійного вдосконалення, що допомагає проактивно впроваджувати актуальні та ефективні засоби захисту інформаційного середовища компаній.

Стандарт ISO 27001 є провідною світовою практикою з управління інформаційною безпекою та широко використовується багатьма компаніями. Відповідно до статистики таких організацій як IT Governance, PECB, Advisera, кількість організацій, що сертифіковані за стандартом ISO 27001 щороку зростає в середньому на 15-20%. Крім того, деякі індустрії, такі як банки та фінансовий сектор за регуляторними вимогами України повинні відповідати вимогам цього стандарту.

Як EY може допомогти

Ми пропонуємо нашим клієнтам долучитись до великої сім’ї компаній, які впровадили СУІБ за однією з провідних практик управління інформаційною безпекою – ISO 27001.

Для організацій, що тільки починають свій шлях в побудові інформаційної безпеки, ми допомогаємо визначитись з основними загрозами, зовнішніми та внутрішніми факторами впливу, спланувати впровадження СУІБ та виконати заплановані дії.

У випадку, коли компанія вже впровадила певні практики та бажає зрозуміти їх ефективність та ступінь відповідності вимогам стандарту, ми зможемо надати незалежну оцінку та рекомендації щодо приведення цих практик у відповідність стандарту.

Коли ж компанія вже готова до сертифікації, ми можемо провести діагностичний аудит, підготувати до сертифікаційного аудиту, та виконати сертифікацію щодо відповідності до стандарту ISO 27001 силами EY Certify Point – акредитованої незалежної сертифікаційної установи.

 

Що ми робимо

Ми оцінюємо поточний стан СУІБ та ступінь її відповідності стандарту ISO/IEC 27001:2013 відповідно до двох базових компонентів: Організації СУІБ (заходів щодо планування системи, які описані в основній частині стандарту), та впровадження СУІБ (заходів щодо побудови елементів захисту, які описані в Додатку А до стандарту). Після виявлення невідповідностей до стандарту, ми розробляємо рекомендації щодо їх усунення, і у разі необхідності, допомагаємо нашим клієнтам їх впровадити.

В залежності від потреб клієнта, ми можемо запропонувати наступні напрямки послуги:

  • Впровадження СУІБ

    Ми допомагаємо спланувати та впровадити всі організаційні елементи, розробити нормативні документи, спроектувати дизайн та реалізувати всі контрольні заходи, провести фасилітацію всіх активностей впродовж всього життєвого циклу СУІБ.

  • Діагностика СУІБ

    Ми підходимо до діагностики з такою ж прискіпливістю, як до сертифікаційного аудиту. Ми проводимо оцінку, виявляємо невідповідності, даємо рекомендації щодо їх усунення, та пріоритезовану дорожну карту. Додатково, ми можемо перевірити ефективність реалізації рекомендацій, чи допомогти у їх впровадженні.

  • Сертифікація СУІБ

    Ми проводимо сертифікаційний аудит СУІБ силами акредитованої незалежної сертифікаційної установи та надаємо сертифікату у випадку успішного виконання вимог стандарту. Сертифікація складається з 3-річного циклу (сертифікаційний аудит, та 2 супроводжуючих).

Чому EY?

Наша команда має величезний досвід з реалізації різноманітних проектів з інформаційної безпеки, в тому числі щодо з оцінки та впровадження СУІБ. Команда EY в Україні виконала більше 10 таких проєктів за останні 5 років для локальних та міжнародних компаній, та включає багато сертифікованих експертів.

Зв'яжіться з нами

Напишіть нам, щоб дізнатися більше.