Ми раді повідомити про проходження аудиту зі стандартів ISO 27001 та ISO 27701. Відтепер ми матимемо підтвердження відповідності нашої системи управління інформаційною безпекою і конфіденційністю світовим стандартам якості. Підготовка до проходження аудиту зайняла в нас понад 9 місяців.
Що таке сертифікація ISO 27001 та ISO 27701?
Сертифікації ISO 27001 та ISO 27701 є стандартами інформаційної безпеки та конфіденційності даних. Вони запроваджені задля стандартизації процесів отримання, обробки та зберігання інформації контролерами та процесорами персональних даних.
Кожен стандарт містить перелік політик, практик, вимог та контролів, які мають бути впровадженні в організації. Впровадження всього цього не гарантує, що безпека не містить вразливостей, однак воно точно гарантує, що компанія підходить до таких питань системно, і налаштувала процеси роботи з відповідними ризиками.
Згідно зі стандартом система інформаційної безпеки компанії повинна демонструвати її здатність захищати свої інформаційні ресурси.
До речі, стандарт ISO 27001, в загальній частині містить схожі вимоги до стандарту ISO 9001.
В Україні діє ДСТУ ISO 27001-2014 «Інформаційні технології, Методи безпеки. Системи менеджменту інформаційної безпеки. Вимоги», що можна назвати україномовною копією стандарту ISO 27001-2013.
Вимоги стандарту ISO 27701 тісно переплітаються із вимогами GDPR, тож проходження аудиту з ISO 27701 демонструє, що методи поводження з даними та їх захисту в компанії Етиконтроль є на належному рівні. А ми, в свою чергу, при постановці вимог керувались GDPR.
Наводимо приклад вимог лише щодо наявності документації:
- Область застосування системи менеджменту інформаційної безпеки (пункт 4.3)
- Політика інформаційної безпеки та задач (пункти 5.2 і 6.2)
- Методологія оцінки та обробки ризиків (пункт 6.1.2)
- Заява про застосовність (пункт 6.1.3 d)
- План обробки ризиків (пункти 6.1.3 e та 6.2)
- Звіт про оцінку ризиків (пункт 8.2)
- Визначення ролей та обов'язків щодо забезпечення безпеки (пункти A.7.1.2 і A.13.2.4)
- Інвентаризація активів (пункт A.8.1.1)
- Політика контролю доступу (пункт A.9.1.1)
- Операційні процедури для ІТ-управління (пункт A.12.1.1)
- Політика безпеки постачальника (пункт A.15.1.1)
- Процедура управління інцидентами (пункт A.16.1.5)
- Процедури забезпечення безперервності бізнесу (пункт A.17.1.2)
- Програма внутрішнього аудиту (пункт 9.2)
- Журнал дій користувачів, винятки та події в системі безпеки (пункти A.12.4.1 і A.12.4.3)
Що це означає для наших клієнтів?
Що Етиконтроль щорічно буде перевіряти третя незалежна сторона (аудитор) на наявність та ефективність двох систем:
- системи управлення інформаційною безпекою, в тому числі комплексною системою захисту інформації;
- системи управління персональними даними та захисту їх конфіденційності.
На практиці це означає, що:
- Ризики інформаційної безпеки в Етиконтроль нижчі, ніж в тих, хто про це не задумується чи не має відповідної сертифікації;
- В Етиконтроль зʼявився офіцер інформаційної безпеки, ряд додаткових контролів та систем захисту (наприклад Активний вебфаєрвол WAF) та інші речі, які іноді можуть ускладнити життя, в тому числі і користувачам платформи;
- Нашим бізнес замовникам має стати легше переконувати своїх колег в середині компанії передати ряд бізнес-процесів на аутсорсинг в Етиконтроль чи користуватись платформою, що розміщена в нашій захищеній хмарі;
- Підрозділам інформаційної безпеки наших клієнтів є що почитати та з ким фахово поспілкуватись за потреби;
- Етиконтроль обробляє і зберігає персональні дані відповідно до вимог галузевих стандартів GDPR, особливо це стосується питань трансграничною передачі даних. Тобто, ті наші клієнти, що мають підрозділи у різних юрисдикціях, можуть бути спокійні щодо передачі даних між ними через системи Етиконтроль.
Також, ми оновили нашу політику конфіденційності. Про це детальніше можна прочитати у Політиці у сфері конфіденційності та персональних даних, розділ Центр безпеки на сайті. Ми створили окремий дата рум для обміну документами про безпеку з клієнтами.
Фото:
Tima Miroshnichenko з Pexels