Ұйымыңызға ISO/IEC 27001 сертификатын алыңыз

Орташа алғанда стандартты жоба 50–75 жұмыс күніне созылады және мыналарды қамтиды: АҚБЖ құжаттар топтамасын әзірлеу (ақпараттық қауіпсіздік саясаты, тәуекелдерді бағалау, қолданылу туралы мәлімдеме және А қосымшасының шаралары), енгізу, органға өтінім беру, екі кезеңдік сертификаттау аудиті және сертификат алу. Ірі компаниялар үшін (штат 1000-нан асса, бірнеше алаң) мерзім жеке есептеледі. Жанып тұрған дедлайн үшін жобаны жеделдету опциялары бар.

IAF-аккредитациясымен — иә, IAF MLA барлық елдерінде: ЕО, АҚШ, БАӘ, Қытай, ЕАЭО — бұл 97 ел. Органның аккредитация мәртебесі онлайн 2 минутта тексеріледі.

IAF-сыз — басқа міндеттер мен корпоративішілік талаптарға. Мұндай сертификаттың халықаралық танылуы жоқ, бірақ ол арзанырақ әрі жылдамырақ. Органды мақсатыңызға қарай таңдаймыз.

Шетелдік тапсырыс беруші үшін құжаттама мен аудитті орыс және ағылшын тілдерінде жүргіземіз.

Бұл — үш түрлі стандарт. ISO/IEC 27001 халықаралық ISO ұйымы мен IEC техникалық комитеті жасаған — бүгінде бұл ұйымдардағы ақпараттық қауіпсіздікті басқарудың негізгі стандарты. Мемлекеттік органдар халықаралық стандартты негізге алып, ұлттық нұсқаларын шығарады: СТ РК — қазақстандық, ГОСТ Р ИСО/МЭК — ресейлік. 95%-ы ұқсас стандарттар, айырмашылық тек жекелеген терминдерде.

Сондықтан бірнеше елде жұмыс істесеңіз, IAF аккредитациясы бар халықаралық үлгідегі сертификат алған тиімдірек — көп жағдайда ол қолжетімді нарықтардағы қажеттіліктеріңізді жабады. Ерекшеліктер — ұлттық қауіпсіздік жобалары немесе мемлекет үшін аса маңызды ақпарат объектілерімен жұмыс.

Сертификаттың өзі — ерікті, заң оны міндеттемейді. ҚР дербес деректер туралы заңы операторды деректер қауіпсіздігін қамтамасыз етуге міндеттейді: ҚР-да локализациялау, инциденттер туралы хабарлау, қолжетімділікті бақылау, шифрлау.

ISO 27001 және оның кеңейтімі ISO 27701 — шаралардың құрылғанын және тиісті ұқыптылық танытқаныңызды тапсырыс берушілер мен реттеушіге көрсетудің танылған тәсілі.

ISO 27001 — тұтастай ақпараттық қауіпсіздікті басқару жүйесі (АҚБЖ). ISO 27701 — 27001 үстіне дербес деректерді қорғауға (privacy) арналған кеңейтім. Жиі бірге енгізіледі.

SOC 2 — жеке есеп, оны көбіне АҚШ-тан келетін тапсырыс берушілер сұрайды. Бұл басқа шеңбер: ISO 27001 — халықаралық деңгейде танылған сертификат. Тапсырыс берушіңіз дәл нені талап ететінін айтып береміз және бірін екіншісімен алмастырмаймыз.

Жоқ. ISO/IEC 27001:2013-тен 2022 редакциясына көшу кезеңі 2025 жылдың 31 қазанында аяқталды — 2013 нұсқасы бойынша сертификаттар осы күннен кейін жарамсыз.

Егер сізде осындай сертификат қалса — сізді өзекті 2022 редакциясына көшіреміз: құжаттаманы жаңа А қосымшасы (93 шара) бойынша жаңартып, көшу аудитінен өтеміз.

Сертификат 3 жылға беріледі және 3 аудитті қамтиды: бастапқы сертификаттау (одан кейін сертификат аласыз), бірінші инспекциялық (9–12-ай) және екінші инспекциялық (21–24-ай). Шығындар екі бөлікке бөлінеді: сертификатты алу және үш жыл бойы қолданысын сақтау.

1. Сертификат алу (АҚБЖ әлі жоқ болса):

Құжаттаманы әзірлеу. Екі жол.

— Өз күшіңізбен: маман жалдау (≈200 €), жұмыс орны (≈500 €), жалақы (айына 500–1 000 €), стандарттар мен ТНҚА сатып алу (200 €-ға дейін), оқыту (≈500 €). Мерзімі ≥ 6 ай. Барлығы 6 айға 4 400–7 000 €, салықсыз.

— Сараптаманы тарту: баға сертификаттау саласына, компания мөлшеріне және консультант тәжірибесіне байланысты. 500 €-дан (әдетте шаблондар) 7 000 €-ға дейін (толық жоба). Мерзімі 3–4 ай.

Сертификаттау аудиті. Құны ұйым мөлшеріне, географияға, сертификаттау саласына, органның баж салығына және аудиторға кететін шығындарға (аудит күндері, көлік, іссапар) байланысты. Халықаралық аккредиттелген орган үшін 2 000-нан 12 000 €-ға дейін.

Қаласаңыз, тәуекелдерді азайту және дайындықты салдарсыз тексеру үшін құжаттаманың алдын ала аудитін немесе сынақ аудитін алаңда өткізуге болады.

Аудитте сәйкессіздіктер табылса — қосымша шығындар дәрежесіне байланысты: ұсағы үшін ≈200 €, елеулісі үшін 2 000 €-ға дейін + мүмкін қайталама аудит.

2. Сертификатты сақтау (жылына):

— Инспекциялық бақылау: бастапқы аудит құнының ≈70%-ы (1 400–8 400 €) + аудитор шығындары.

— АҚБЖ-ні сақтау: жауапты маманның жалақысы — 12 айға 6 000–12 000 €, салықсыз.

— Қызметкерлерді оқыту: жылына бір қызметкерге шамамен 500 €.

— Тәуекелдерді қайта бағалау және АҚ тесттері: инфрақұрылымға қарай қатты өзгереді.

Тәжірибеден: жыл бойы құжаттар жүргізілмесе, инспекциялық бақылауда көптеген сәйкессіздіктер жиналады — олар жойылмаса, сертификаттың қолданысы тоқтатылады. Сондай-ақ аудитор көрсететін даму аймақтарын жүзеге асырған жөн — бұл аудитордың ұйым туралы пікірін айтарлықтай жақсартады.

Компанияңызға арналған өзіндік есепті — беттегі калькулятордан 45 секундта. Нақты сметаны қысқа қоңыраудан кейін 24 сағатта жібереміз — баға шартта теңгемен бекітіледі, бір бөлігі стартта, қалғаны — сертификат алынғаннан кейін.

Әрбір сертификаттың бірегей нөмірі бар және ол сертификаттау органының тізілімінде тексеріледі — көбіне бұл тіркеусіз қолжетімді ашық дерекқор.

IAF-аккредиттелгендер үшін қосымша — халықаралық IAF CertSearch дерекқорында тексеру және органның мәртебесін iaf.nu-да растау. Бұл шетелдік серіктестер мен шетелдегі тендерлердің біліктілігі үшін жеткілікті.

Кейбір органдар сертификаттарды бірегей нөмірлі бланкілерде шығарады, бұл да сертификаттың дұрыстығына сенімді нығайтуға септігін тигізеді

Тендердің ТТ-сына байланысты. goszakup.gov.kz пен samruk.kz-те IT-сатып алуларда көбіне дәл ISO/IEC 27001 талап етіледі, кейде қосымша — ISO 27701 (дербес деректер) немесе ISO 22301 (бизнестің үздіксіздігі).

Олардың барлығы 27001-мен Annex SL арқылы біріктіріледі — бірнеше стандартқа бір аудит, ортақ құжаттама топтамасы. ТТ-ны жіберіңіз — бір сағатта қандай жиынтық талаптарды жабатынын айтамыз.

Жанып тұрған дедлайн үшін сертификаттау мәртебесі туралы алдын ала хат береміз — оны біліктіліктен өту үшін тендер өтініміне тіркейді.

Толыққанды сертификат қатар беріледі, әдетте келісімшартқа қол қою сәтіне қарай. Бұл гибрид-сценарий — жанып тұрған дедлайны бар тендерлер үшін әдеттегі жағдай, біз оны көп рет жасадық.

Көптеген клиенттер штатта жеке АҚ маманын ұстамайды, АҚБЖ жауапкершілігін бірнеше қызметкер арасында бөледі. Біз барлық АҚБЖ құжаттамасын дайындаймыз (ақпараттық қауіпсіздік саясаты, тәуекелдерді бағалау, қолданылу туралы мәлімдеме, рәсімдер) және сіздің екі ішкі аудиторыңызды оқытамыз. Жеке қызметкер жалдаудың қажеті жоқ — бұл еңбекақы қорын үнемдейді.

Үш жыл ішінде сертификаттау органы 2 инспекциялық (қадағалау) аудит өткізеді — беру күнінен бастап 9–12-ай мен 21–24-айда.

Аудиттер арасында компания АҚБЖ-ні өзі сақтайды: құжаттарды жаңартады, тәуекелдерді қайта бағалайды, сәйкессіздіктерді жояды, қызметкерлерді оқытады. Құжаттар жүргізілмесе, инспекциялық бақылауда бұзушылықтар анықталады — олар жойылмаса, сертификаттың қолданысы тоқтатылады.

3-ші жылы — толық бағдарлама бойынша қайта сертификаттау. Сертификаттау органын өтілді жоғалтпай ауыстыруға болады — бұл қалыпты тәжірибе.