BICC Meetup: Сертификация ISO для ИТ-компаний

Когда и кому нужна сертификация, как ее пройти и сколько времени это занимает — обсудили 11 ноября на онлайн-встрече с Дмитрием Жилинским, представителем компании Изи Штандарт.

Сертификация — это подтверждение соответствия объектов установленным требованиям, осуществляемое органом по сертификации. Согласно исследованию Изи Штандарт, чаще всего ИТ компании получают сертификаты, чтобы выполнить требование заказчика или принять участие в тендере.

Сертификаты ISO 9001 и ISO 27001

В ИТ сертифицируется продукция или работа, процессы и системы менеджмента, персонал. Чтобы минимизировать риск утечки данных, проводится сертификация информационной безопасности.

Самые популярные стандарты в отрасли — ISO 9001 и ISO 27001. ISO 9001 регламентирует стандарты обеспечения качества услуг/продукции и удовлетворенности потребителей, ISO 27001 — обеспечение информационной безопасности. При этом ISO 27001 имеет больший вес, если деятельность связана с персональными данными, и фактически включает стандарты ISO 9001.

Чтобы сертификация признавалась в США, Канаде, Германии, Китае, желательно иметь сертификат от органа, чья аккредитация признается IAF. В Беларуси нет органа для сертификации по ISO 27001. Поэтому для получения валидного международного сертификата необходимо обращаться в органы по сертификации, географически близкие к клиентам: для американских клиентов нужен американский или канадский орган, для европейских — европейский.

Презентация спикера:

Как выбрать орган по сертификации

Стоимость услуг разных органов по сертификации может отличаться в десятки и сотни раз. Дмитрий рекомендует при выборе обращать внимание на следующее:

• Легальность и признание сертификатов. Узнайте, есть ли у органа аккредитация на необходимый стандарт и желаемую область сертификации. На сайте органа должны быть опубликованы документы об аккредитации.
• Репутацию и имидж органа, которые могут влиять на стоимость услуг.
• Наличие местных аудиторов, что позволит снизить расходы на их трансфер и пребывание в стране.
• Реестр сертификатов у органа и в IAF. Он позволяет любому потребителю проверить, действительно у компании есть сертификат.
• Клиенты органа. Обратите внимание, есть ли у органа опыт работы в вашей отрасли.

Этапы получения сертификата ISO 27001

Чаще всего компании обращаются в Изи Штандарт за помощью в сертификации, когда нужно выполнить требование заказчика — в 2018-2021 годах было 118 таких случаев. Как правило, это компании, еще не готовы к сертификации. Поэтому процедура проходит по следующему плану:

Подготовка. На соответствие стандарту проверяются документы, процедуры, приказы, внутренние аудиты, реестры активов, рисков.

Поиск органа по сертификации. Можно найти самостоятельно или с помощью консалтинговой компании. При выборе уточняется стоимость услуги, формат аудита (онлайн-офлайн), длительность, аудитор (рабочий язык, опыт), аккредитация органа.

Аудит. Главное правило — не говорить то, чего у вас нет и не написано, потому что это попросят доказать.

Самые популярные вопросы во время аудита:

1. Пользуетесь ли вы флешками, и если да, то какова процедура скачивания информации (худший ответ: «Просто ставлю и скачиваю»)?
2. У кого есть доступ к серверам?
3. Какая у вас политика по отношению к паролям (потому что 90% проблем с утечками связаны с тем, что люди хранят пароли под клавиатурой)?

Первый аудит всегда очень щадящий, после чего компании могут выдать сертификат и рекомендации по устранению недочетов в течение года. На инспекционном контроле через год проводится более тщательная проверка, в том числе по следованию рекомендациям.

Работа с несоответствиями, если они были выявлены и написание отчета после их устранения . В течение года компания может выполнять также рекомендации (не предписания) аудитора, однако это необязательно.

Получение сертификата. Необходимо внимательно проверять черновик документа (адреса, названия и т.п.), поскольку переписать сертификат можно только платно. После получения сертификата рекомендуется также проверить, есть ли он в реестре.

Инспекционный контроль. Все изменения лучше вносить постепенно в течение года, а не накануне контроля.

Стоимость

По оценкам спикера, средняя стоимость получения сертификата для компании до 100 человек с одним офисом составит более 1800 евро за первичный аудит и от 1300 за каждый инспекционный контроль.

На цену влияют: количество сотрудников, количество заявленных процессов, внутренняя конфигурация (число и расположение офисов, наличие офиса в ЕС), есть ли удаленная работа в компании, работает ли компания с ПО собственной разработки и другое.

Дополнительные средства потребуются на обеспечение работы международной системы менеджмента в течение года (поддержание документации, устранение несоответствий и другое).

На встрече также обсудили особенности проведения сертификации в Беларуси, международную статистику ISO, сертификацию в узких отраслях и другое.

Видеозапись встречи:

План встречи:

02:00 — сертификация: что это такое и какие стандарты важны для ИТ отрасли
05:10 — ISO 9001 vs ISO 27001
08.35 — как устроена процедура сертификации
17.38 — выбор органа по сертификации
27.24 — как понять, что нужна сертификация
36.23 — этапы получения сертификата
47.35 — расходы на сертификацию
54.48 — сертификация в Республике Беларусь
55.53 — международная статистика ISO
58.11 — ISO для медицинского софта и других специфических направлений
01.04.13 — вопрос-ответ

Другие публикации по теме:

• Дискуссия по вопросам модернизации ИТ-законодательства
• Правовые стратегии по IP в аутсорсинговом и продуктовом ИT
• Law & Accounting Meetup: офшорный сбор и изменения в валютном законодательстве

Присоединяйтесь к Belarus IT Companies Club, где мы объединяем экспортные ИТ компании Беларуси для сотрудничества, обмена опытом и важной информацией:

• закрытое сообщество из 200+ владельцев и руководителей
• обмен лидами и бенчем в Bench_Exchange
• консультации для ваших бухгалтеров и юристов
• регулярные встречи и отраслевые исследования