Простая рекомендация про сертификацию СУИБ по ISO 27001

Если вы уже внедрили СУИБ и выходите на ее сертификацию, то обязательно изучите стандарты ISO 27007 и ISO 27006.

Annex A (informative). Guidance for ISMS auditing practice.

This annex provides generic guidance on how to audit an ISMS, for which an organization claim conformance to ISO/IEC 27001. As this guidance is intended to apply to all such ISMS audits, irrespective of the size or nature of the organization involved, this guidance is generic. The guidance is intended to be used by auditors performing ISMS auditing, whether internal or external.

• Область действия СУИБ (Scope of the ISMS) должна быть документирована и (желательно) довольно детально описана (с указанием площадок, процессов и людей, входящих в нее). Кстати, область сертификации вполне может быть меньше области действия СУИБ (и обычно это так). Крайне рекомендую область действия СУИБ оформлять отдельным документом, ну, или хотябы отдельным приложением к какому-то верхнеуровневому документу, описывающему СУИБ.
• В Положении о применимости контролей (SoA, Statement of Applicability) рекомендую по каждому пункту (список из приложения к стандарту 27001) прописать технические и организационные меры. Иногда в SoA добавляют и описание мер по первым ("текстовым") требованиям стандарта, это не нужно для аудиторов, но может быть полезно (хотя и трудозатратно).
• Должны быть определены и документированы цели ИБ (Information security objectives). Желательно конкретные и измеримые (в ходе аудита вы будете показывать свидетельства их измерения и планы по достижению). Идеальный документ - Политика ИБ, а в более низкоуровневых документах цели могут раскрываться и описываться конкретнее. Если цели ИБ выровнены с целями бизнеса ("каскад целей"), то это великолепно и большой плюс.
• Будьте готовы, что придется показывать аудитору профессиональные сертификаты по ИБ, планы по обучению, требования должностных инструкций и другие свидетельства компетенции сотрудников ИБ и ИТ (Evidence of competence).

• "A.1.1 Understanding the organization and its context". Контекст не документирован/плохо документирован
• "A.1.2 Understanding the needs and expectations of interested parties". Отсутствует перечень заинтересованных лиц и их ожидания.
• "A.3.2 Information security objectives and planning to achieve them". Цели ИБ не определены и/или их достижение не оценивается.
• "A.4.2 Competence". Отсутствуют свидетельства регулярного обучения/повышения квалификации.
• "A.4.5.3 Control of documented information". Не ведется контроль версионности документов/записей, сотрудники могут использовать неактуальные версии документов.
• "A.6.1 Monitoring, measurement, analysis and evaluation". Измерение ИБ не производится.
• "A.7.1 Nonconformity and corrective action". Процесс не формализован, свидетельства работы над несоответствиями не представлены.

ISO 27007 - крайне полезный документ при подготовке к сертификации. Таблица по проверкам требований занимает 25 из 44 страниц, и она очень полезная. Если готовитесь к сертификации, то обязательно и внимательно изучите.