Информационная система представляет собой функционирование оборудования и программного обеспечения по сбору, хранению, обработке информации, управлению бизнесом. Обязательная оценка проводится для систем, связанных с конфиденциальностью или предназначенных для использования федеральными/региональными органами власти. Добровольная проверка проводится руководством предприятия.
Сертификация IT-систем
К IT-системам относят сетевое оборудование, серверы; программное обеспечение (приложения, учебные пособия, базы данных, специальные программы).
Их основные функции — это:
- автоматизация, оптимизация управления и документооборота, производства, взаимодействия структур организации;
- исключение влияния человеческого фактора;
- сведение до минимума бумажной работы.
Подтверждение соответствия гарантирует конфиденциальность и точность информации, бесперебойность действия оборудования.
Нормативная база
В России оценка проводится добровольно по ГОСТ Р или стандарту ИСО по сферам действия:
- 57392-2017 – услуги предприятий;
- 57486-2017 – услуги по информационному обеспечению потребителей;
- ИСО/МЭК 38500-2017 – сфера управления;
- ИСО 9001-2015 (ISO 9001:2015) — система менеджмента качества (СМК);
- ИСО/МЭК 27001-2021 (ISO/IEC 27001:2013) – система менеджмента информационной безопасности (СМИБ).
Наиболее полным считается подтверждение соответствия СМК и СМИБ как включающих основные требования ко всем аспектам деятельности предприятий.
ГОСТ Р ИСО 9001-2015
ГОСТ Р ИСО 9001-2015 регулирует СМК, позволяющую компании предоставлять потребителям качественные продукты и услуги. Принципы действия документа:
- Ориентированность на потребителя.
- Лидерство руководства, вовлечение персонала в производственный процесс — полноценное участие сотрудников в деятельности компании.
- Комплексный подход — создание взаимоувязанных процессов для повышения эффективности.
- Постоянное улучшение процессов управления.
- Принятие обоснованных решений.
- Эффективное сотрудничество с партнерами.
ГОСТ Р ИСО/МЭК 27001-2021
Выполнение требований ISO 27001 обеспечивает защиту данных предприятия. Нормативный акт регламентирует разработку, внедрение, функционирование, наблюдение, поддержку, улучшение СМИБ с учетом рисков организации. Принципы действия — это:
- Защита информации, полнота, корректность ее обработки;
- Бесперебойный доступ к данным.
- Оценка, обработка рисков ИБ.
- Выбор, внедрение методов снижения рисков.
- Контроль, анализ эффективности СМИБ.
- Улучшение ее функционирования.
- Лидирующая роль руководства, вовлеченность персонала.
- Соблюдение законодательства, нормативов, договорных обязательств.
Преимущества добровольной оценки
Добровольная проверка способствует развитию, продвижению, конкурентоспособности бизнеса. Фирма получает ряд преимуществ, например:
- Выигрыш в тендерах/государственных торгах;
- Расширение рынка сбыта;
- Укрепление доверия клиентов, контрагентов, инвесторов;
- Снижение затрат на защиту информации;
- Узнаваемый бренд, надежная репутация фирмы;
- Эффективное взаимодействие с партнерами, контролирующими органами;
- Повышение производительности за счет устранения несоответствий. Анализ, документирование процессов выявляют слабые места, затратные операции.
Процедура оформления сертификата на информационные технологии
Подготовка включает следующие шаги:
- Изучение стандартов.
- Формирование пакета документов (Руководство по качеству и политика организации, разработка действий, инструкций, обеспечивающих функциональность СМК; протоколы, отчеты об аудитах).
- Обучение персонала, внедрение IT-систем.
- Внутренний аудит. Здесь можно обратиться за помощью в сертификационный орган, проверенный на сайте Росстандарта.
Оценка по стандартам 9001, 27001 предполагает несколько этапов:
- Передача заявления с пакетом документов в сертификационный орган. В заявлении указывается наименование, структура фирмы, регистрационные данные, ИНН/ОГРН, проверяемый менеджмент.
- Предварительный аудит. Анализ ситуации клиента.
- Основной аудит. Эксперты анализируют документацию, изучают производство, оценивают персонал. При соответствии СМК и СМИБ нормативным требованиям выдается сертификат, действующий в течение трех лет.
Требования к процессу проверки
Оценочные мероприятия включают экспертизу документов, оценку деятельности, качества выполнения работ, уровня обслуживания клиентов.
Выполняется проверка:
- документации с функциональными характеристиками IT-систем;
- стабильности их действия в разных условиях;
- устойчивости IT-систем к сбоям, времени восстановления работоспособности;
- квалификации специалистов;
- уровня обслуживания;
- безопасности данных, защиты от взломов, утечки информации;
- ресурсов; эффективности СМК, СМИБ;
- управления рисками (механизмы контроля, идентификации, анализа);
- опыта компании, ее деловой репутации по отзывам в СМИ.
Стоимость сертификата
Сертифицированные органы определяют ценовую политику, учитывая ситуацию на рынке, сложность прохождения проверки, структуру фирмы, объем документации.
Центр “Росстандарт.ОРГ” проведет весь комплекс необходимых работ по сертификации систем менеджмента качества и информационных систем в приемлемые сроки, за оптимальную плату. Консультации бесплатны.