Поделиться
Axenix прошла аудит на соответствие системы управления информационной безопасности стандарту ISO 27001
Консалтинговая технологическая компания Axenix прошла аудит на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO 27001. Сертификация подтверждает, что процессы создания, внедрения и развития ИБ в компании соответствуют лучшим мировым практикам. Об этом CNews сообщили представители Axenix.
ISO 27001 — международный стандарт, который регламентирует систему менеджмента информационной безопасности. Сертификаты, полученные Axenix, подтверждены EUROCERT S.A., независимой европейской организацией по сертификации с головным офисом в Афинах, Греция, аккредитованной национальной системой ESYD и работающей более чем в 20 странах мира.
Дмитрий Тягунов, CIO компании Axenix, отметил, что прохождение сертификации стало логичным шагом в развитии компании и было продиктовано рядом факторов: «С одной стороны, это наше внутреннее стремление системно управлять информационной безопасностью. С другой — запрос рынка: клиенты и партнеры все чаще обращают внимание на наличие подтвержденных стандартов управления ИБ. Поэтому для нас это еще и повышение уровня доверия и обеспечение конкурентного преимущества».
В 2022 г., после отделения от международной компании Accenture, Axenix полностью перестроила свою ИТ-инфраструктуру. При этом в обновленный ИТ-ландшафт стандарты ИБ закладывались как основа, позволившая впоследствии реализовать системный подход и сертификацию. Такой подход был особенно важен в условиях перехода к гибридному режиму работы — сотрудники Axenix подключаются удаленно, используя самые разные средства связи, — а также активного внедрения облачных инструментов, что требует дополнительной защиты. Кроме того, необходимость системного ИБ-подхода была обусловлена усилением глобальных и российских требований к хранению, обработке и защите персональных данных.
Процесс сертификации по международному стандарту ISO 27001 состоит из нескольких последовательных этапов. Сначала происходит разработка ИБ-политики, определение области применения системы управления, оценка рисков и установление контрольных мер. На дальнейшем этапе создается документация, соответствующая требованиям стандарта, разрабатываются процедуры и инструкции для критических процессов. Затем на этапе внедрения осуществляется реализация процедур и политик в повседневной деятельности, обучение сотрудников. Наконец, перед сертификационным аудитом требуется пройти внутренний аудит. В целом подготовка к сертификации в Axenix заняла около полутора лет.
Сам процесс сертификационного аудита состоял из трех этапов.
Первый этап — оценка технических и организационных мер. Аудиторы провели детальный анализ внутренних процессов, фокусируясь на эффективности реализованных механизмов, включая оценку архитектуры систем обеспечения ИБ, процессов управления рисками и интеграции политик информационной защиты в операционную деятельность.
Второй этап — полевое обследование на местах присутствия. Аккредитованные специалисты осуществили выездные инспекции в офисы компании, где провели проверку функционирования инфраструктуры — от сетевых конфигураций до инструментов мониторинга и реагирования на инциденты, — обеспечив реальную оценку практической реализации мер безопасности.
Третий этап — корректировка выявленных замечаний и финальное подтверждение соответствия. В ответ на рекомендации аудиторов компанией были внедрены необходимые корректировки, включая доработки процедур и усиление контрольных точек.
Дмитрий Тягунов отмечает, что сертификация не только помогла компании выстроить процессы в части ИТ-инфраструктуры, но и способствовала стандартизации операций, уточнению ролей и обязанностей. Например, были регламентированы стандарты обеспечения безопасности рабочих компьютеров, режим для посетителей, хранение пропусков, роли и обязанности в отношениях с поставщиками и др.
Сертификат выдан сроком на три года. Ежегодно компания намерена подтверждать свое соответствие, проходя инспекционные аудиты, а через три года — процедуру ресертификации. Работа по международным стандартам является частью долгосрочной стратегии развития Axenix в сфере ИБ.
Короткая ссылка
