BICC Meetup: Сертификация ISO для ИТ-компаний
Когда и кому нужна сертификация, как ее пройти и сколько времени это занимает — обсудили 11 ноября на онлайн-встрече с Дмитрием Жилинским, представителем компании Изи Штандарт.
Сертификация — это подтверждение соответствия объектов установленным требованиям, осуществляемое органом по сертификации. Согласно исследованию Изи Штандарт, чаще всего ИТ компании получают сертификаты, чтобы выполнить требование заказчика или принять участие в тендере.
Сертификаты ISO 9001 и ISO 27001
В ИТ сертифицируется продукция или работа, процессы и системы менеджмента, персонал. Чтобы минимизировать риск утечки данных, проводится сертификация информационной безопасности.
Самые популярные стандарты в отрасли — ISO 9001 и ISO 27001. ISO 9001 регламентирует стандарты обеспечения качества услуг/продукции и удовлетворенности потребителей, ISO 27001 — обеспечение информационной безопасности. При этом ISO 27001 имеет больший вес, если деятельность связана с персональными данными, и фактически включает стандарты ISO 9001.
Чтобы сертификация признавалась в США, Канаде, Германии, Китае, желательно иметь сертификат от органа, чья аккредитация признается IAF. В Беларуси нет органа для сертификации по ISO 27001. Поэтому для получения валидного международного сертификата необходимо обращаться в органы по сертификации, географически близкие к клиентам: для американских клиентов нужен американский или канадский орган, для европейских — европейский.
Презентация спикера:
Как выбрать орган по сертификации
Стоимость услуг разных органов по сертификации может отличаться в десятки и сотни раз. Дмитрий рекомендует при выборе обращать внимание на следующее:
- Легальность и признание сертификатов. Узнайте, есть ли у органа аккредитация на необходимый стандарт и желаемую область сертификации. На сайте органа должны быть опубликованы документы об аккредитации.
- Репутацию и имидж органа, которые могут влиять на стоимость услуг.
- Наличие местных аудиторов, что позволит снизить расходы на их трансфер и пребывание в стране.
- Реестр сертификатов у органа и в IAF. Он позволяет любому потребителю проверить, действительно у компании есть сертификат.
- Клиенты органа. Обратите внимание, есть ли у органа опыт работы в вашей отрасли.
Этапы получения сертификата ISO 27001
Чаще всего компании обращаются в Изи Штандарт за помощью в сертификации, когда нужно выполнить требование заказчика — в 2018-2021 годах было 118 таких случаев. Как правило, это компании, еще не готовы к сертификации. Поэтому процедура проходит по следующему плану:
Подготовка. На соответствие стандарту проверяются документы, процедуры, приказы, внутренние аудиты, реестры активов, рисков.
Поиск органа по сертификации. Можно найти самостоятельно или с помощью консалтинговой компании. При выборе уточняется стоимость услуги, формат аудита (онлайн-офлайн), длительность, аудитор (рабочий язык, опыт), аккредитация органа.
Аудит. Главное правило — не говорить то, чего у вас нет и не написано, потому что это попросят доказать.
Самые популярные вопросы во время аудита:
- Пользуетесь ли вы флешками, и если да, то какова процедура скачивания информации (худший ответ: «Просто ставлю и скачиваю»)?
- У кого есть доступ к серверам?
- Какая у вас политика по отношению к паролям (потому что 90% проблем с утечками связаны с тем, что люди хранят пароли под клавиатурой)?
Первый аудит всегда очень щадящий, после чего компании могут выдать сертификат и рекомендации по устранению недочетов в течение года. На инспекционном контроле через год проводится более тщательная проверка, в том числе по следованию рекомендациям.
Работа с несоответствиями, если они были выявлены и написание отчета после их устранения . В течение года компания может выполнять также рекомендации (не предписания) аудитора, однако это необязательно.
Получение сертификата. Необходимо внимательно проверять черновик документа (адреса, названия и т.п.), поскольку переписать сертификат можно только платно. После получения сертификата рекомендуется также проверить, есть ли он в реестре.
Инспекционный контроль. Все изменения лучше вносить постепенно в течение года, а не накануне контроля.
Стоимость
По оценкам спикера, средняя стоимость получения сертификата для компании до 100 человек с одним офисом составит более 1800 евро за первичный аудит и от 1300 за каждый инспекционный контроль.
На цену влияют: количество сотрудников, количество заявленных процессов, внутренняя конфигурация (число и расположение офисов, наличие офиса в ЕС), есть ли удаленная работа в компании, работает ли компания с ПО собственной разработки и другое.
Дополнительные средства потребуются на обеспечение работы международной системы менеджмента в течение года (поддержание документации, устранение несоответствий и другое).
На встрече также обсудили особенности проведения сертификации в Беларуси, международную статистику ISO, сертификацию в узких отраслях и другое.
Видеозапись встречи:
План встречи:
02:00 — сертификация: что это такое и какие стандарты важны для ИТ отрасли
05:10 — ISO 9001 vs ISO 27001
08.35 — как устроена процедура сертификации
17.38 — выбор органа по сертификации
27.24 — как понять, что нужна сертификация
36.23 — этапы получения сертификата
47.35 — расходы на сертификацию
54.48 — сертификация в Республике Беларусь
55.53 — международная статистика ISO
58.11 — ISO для медицинского софта и других специфических направлений
01.04.13 — вопрос-ответ
Другие публикации по теме:
- Дискуссия по вопросам модернизации ИТ-законодательства
- Правовые стратегии по IP в аутсорсинговом и продуктовом ИT
- Law & Accounting Meetup: офшорный сбор и изменения в валютном законодательстве
Присоединяйтесь к Belarus IT Companies Club, где мы объединяем экспортные ИТ компании Беларуси для сотрудничества, обмена опытом и важной информацией:
- закрытое сообщество из 200+ владельцев и руководителей
- обмен лидами и бенчем в Bench_Exchange
- консультации для ваших бухгалтеров и юристов
- регулярные встречи и отраслевые исследования