Допомагає вийти на нові ринки. Навіщо бізнесу проходити сертифікацію ISO та скільки вона коштує

Baltum Büroo організовує сертифікацію за стандартами ISO для ІТ-компаній, медичних підприємств, бюро перекладів і виробників. Зараз бюро надає послуги організаціям по всьому світу. Сертифікація спрощує роботу з клієнтами з-за кордону, підтверджує безпеку, стійкість і надійність бізнес-процесів.

У партнерському матеріалі з Baltum аудитор компанії Кирило Проскурня розповів, що таке сертифікація, навіщо вона потрібна та чим відрізняється для IT-компаній та інших сфер.

Що таке сертифікація взагалі

Уявіть, що ви вибираєте техніку. Звісно ж, ви звернете увагу на те, чи є гарантійний талон. Так само і з послугами компаній: якщо в компанії є сертифікація – це свого роду гарантійний талон на її послуги. Клієнт упевнений, що результати роботи відповідатимуть міжнародним стандартам, а керівники готові навіть до форс-мажорів.

Стандарти, яким має відповідати компанія з певної сфери – медицини, кібербезпеки, управління довкіллям, енергоспоживання тощо – розробляє та публікує Міжнародна організація зі стандартизації (ISO). Сертифікати підтверджують, що компанія відповідає цим стандартам.

Наприклад, один з наших клієнтів прийшов до нас після того, як не зміг взяти участь у тендері, бо європейський замовник вимагав наявність сертифікатів ISO 9001 та ISO 27001. Це норма для Європи та США й не тільки: великі компанії часто зазначають, що готові працювати лише з компаніями, у яких є ISO 27001. Це стандарти системи менеджменту інформаційної безпеки.

Навіщо бізнесу проходити сертифікацію

Партнери та клієнти більше довіряють компанії, у якої є сертифікація. 

Це свідчення того, що керівництво може ефективно управляти ризиками, а діяльність компанії є прозорою. До того ж сертифікати визнають на міжнародному ринку, що спрощує роботу з клієнтами з-за кордону.

Часто наявність сертифікації – це одна з вимог регуляторів, тендерних комітетів чи законодавства.

Це означає, що компанія має актуальні документи, законодавчі та нормативні акти. А саме вони впливають на досягнення її бізнес-цілей і на те, як вона виконуватиме юридичні та договірні вимоги.

Сертифікація свідчить, що ви використовуєте найкращі практики. 

Так, стандарт ISO 27001 потребує, щоб компанія підтримувала в актуальному стані IT-системи, антивірусний захист, зберігання та резервне копіювання даних тощо. Для того щоб організація пройшла сертифікацію, вона повинна вдосконалювати систему документації та виробляти чіткі інструкції для персоналу.

В умовах війни, на жаль, вимоги закордонних партнерів і клієнтів не зменшились, а, навпаки, виросли. Вони хочуть бачити, що забезпечена неперервність бізнесу, а до планів включені всі ризики, які ми маємо зараз. Наприклад, в офісах мають бути альтернативні джерела живлення, є плани щодо релокації персоналу та інше.

Часто сертифікація закриває ці питання для партнерів. Тому що під час аудиту ми як раз перевіряємо всі ці вимоги. Важливо зазначити, що звіт є невіддільною частиною сертифіката, і часто закордонні партнери потребують як раз сам звіт про аудит.

Як працює Baltum – компанія, що проводить сертифікацію

Сертифікаційний орган Baltum створили 2020 року, як партнера української компанії «Систем Менеджмент». На той час вона організовувала сертифікацію компаній уже протягом семи років. Її засновники Кирило Проскурня, Олена Родіонова та інші були консультантами із систем менеджменту.

Зараз в основній команді близько 15 людей: це менеджери, аудитори та консультанти. А якщо враховувати додаткових експертів, яких ми залучаємо до проєктів, то команда може значно розширюватись. Також ми маємо спеціалістів в інших країнах.

Ціна консалтингу та сертифікації в Baltum зазвичай залежить від стандарту та конкретної компанії: враховується кількість процесів, які необхідно оцінити, кількість персоналу та локацій. Тому цінник може бути і €1 тис., і €35 тис.

Залишити заявку щоб отримати комерційну пропозицію щодо сертифікації можна тут.

 

Як відбувається сертифікація

Клієнти можуть замовляти тільки консалтинг, консалтинг і сертифікацію або ж допомогу в підготовці документів і навчання за стандартами.

Для кожної заявки від клієнта ми вибираємо аудитора з потрібною експертизою. Він аналізує документацію і проводить інтерв’ю з працівниками. Потім готує звіт і подає його на розгляд у технічний комітет сертифікаційного органу. Якщо невідповідностей немає, після схвалення компанія отримує сертифікат, що діятиме три роки. Але кожен рік бізнес має проходити наглядовий аудит і показувати, що він продовжує відповідати вимогам стандарту.

Сам процес сертифікації триває від одного до двох місяців. Зазвичай є декілька стадій, наприклад, якщо йдеться про ISO 27001. На першій стадії аудитор аналізує документацію ISO 27001 та перевіряє, чи всі вимоги виконані. Друга стадія – аудит на локації, коли аудитор проводить інтерв’ю з персоналом і шукає докази, що підтверджують виконання стандарту.

Залишити заявку щоб отримати комерційну пропозицію щодо сертифікації.

 

Як проходить консалтинг

Якщо ми допомагаємо компанії підготуватись до сертифікації, це може займати від трьох місяців до двох років.

Підготовка складається з декількох етапів. Наприклад, для ISO 27001 ми робимо ось  що:

1. Проводимо діагностичний аудит (GAP-аналіз), що допомагає зрозуміти, у якому стані активи й інформаційні ресурси компанії.
2. Навчаємо персонал компанії згідно з вимогами стандарту. Ми розбираємо кожен його пункт, пояснюємо, як його потрібно виконувати.
3. Розробляємо процедури: наприклад, політика та цілі інформаційної безпеки, реєстр активів, оцінка інформаційних ризиків компанії, політика управління персоналом, операційні процедури для управління ІТ тощо.
4. Проводимо внутрішній аудит на основі стандарту ISO 27001, реєструємо невідповідності та радимо, як їх виправити.

Підготовка до сертифікації IT-компанії та сертифікація

Основні відмінності в IT-стандарти – це ризики й активи, пов’язані з інформацією. Ми повинні оцінити їх і забезпечити вирішення.

Сам процес аудиту можна проводити дистанційно, якщо компанія сервісна й це не дата-центр чи банк. Це відбувається так: з кожним працівником аудитор проводить інтерв’ю і збирає докази, що те, що прописано в політиках і процедурах, відповідає дійсності. Зазвичай такий аудит може тривати від двох до семи днів: залежить від розміру компанії.

Але якщо бізнес має велику ІТ-інфраструктуру – свою серверну, багато приміщень з обмеженим доступом – аудит обов’язково проводять офлайн.

Для кожного стандарту необхідно готувати певний перелік обов’язкових документів. Зазвичай у цей процес залучені CTO, IT-менеджер, системний адміністратор, HR, юрист, продакт-менеджер та інші. Стандартний процес підготовки в IT-компаніях до сертифікації триває 6–8 місяців, а потім ще близько одного місяця потрібно на саму сертифікацію.

Якщо під час аудиту ми знаходимо некритичні невідповідності, наприклад, відсутність якихось з політик чи неповне виконання політики, яка була прописана, то компанія може отримати сертифікат. Але наступного року аудитор має перевірити, чи виправила компанія ці невідповідності.

Залишити заявку щоб отримати комерційну пропозицію щодо сертифікації можна тут.

 

Які стандарти мають найбільший попит в ІТ-сфері

Для ІТ-сфери є основні стандарти. Незалежно від обраного стандарту, треба проводити внутрішні аудити в компанії. Кожен з них має свої вимоги.

• ISO 27001 містить підтримку системи управління інформаційною безпекою, оцінку потенційних ризиків і виявлення вразливих зон. А також контроль і зберігання інформації для співробітників і сторонніх підрядників про ризики та звітність про інциденти тощо.
• ISO 27701 орієнтований на систему управління персональними даними. Зокрема, для організацій, які дотримуються GDPRЗагальні правила захисту даних більша частина вимог і заходів вже реалізована. Усе через те, що ISO 27701 значною мірою ґрунтується на правилах GDPR.
• ISO 9001 є основним стандартом для всіх компаній. Він включає такі вимоги, як управління документацією та персоналом, внутрішні аудити, коригувальні й попереджувальні дії.
• ISO 20000-1 поєднує вимоги ISO 9001 та ISO 27001. Він визначає управління ІТ-послугами як систему взаємопов’язаних процесів і заснований на ITILБібліотека інфраструктури інформаційних технологій, набір публікацій, що містять рекомендації щодо надання якісних ІТ-послуг, а також процесів і компонентів, необхідних для їх підтримки.

Хто ще може отримувати сертифікацію: особливості для різних сфер

Для інших сфер також проводять сертифікацію. Усі стандарти дуже схожі за структурою, але кожен адаптований під конкретну сферу. Тому ми запрошуємо не тільки консультантів та аудиторів, котрі знають вимоги стандартів, а й експертів, які розбираються в потрібній клієнту сфері.

Сам процес сертифікації відбувається однаково для всіх видів стандартів, відрізняється лише команда та час, потрібний на проходження.

Не можна підрахувати, яка сфера потребує найбільше часу, бо на це впливає багато факторів. Наприклад, якщо це IT-компанія, де 500 людей, то аудит може тривати 5–7 днів. А якщо це виробництво з 10 співробітниками – не більше 1–2 днів.

У кожному стандарті зосереджуються на особливостях певної сфери.

Наприклад, є сертифікація для бюро перекладів: ISO 17100Послуги письмового перекладу, ISO 18841Послуги усного перекладу та ISO 18587Постредагування машинного перекладу. У цих стандартах описано, що мають робити постачальники перекладацьких послуг, щоб надавати якісні послуги.

Для компаній харчової промисловості важливим є ISO 22000Cистема менеджменту безпечності харчових продуктів. Це міжнародний стандарт для будь-яких підприємств харчової промисловості, у тому числі й виробників обладнання, пакувальних матеріалів, засобів для чищення, харчових домішок та інгредієнтів.

Для сертифікації підприємств, що виробляють медичні пристрої, існує ISO 13485:2016Cистема управління якістю підприємств. Щоб відповідати цьому стандарту, компанія повинна надавати медичні прилади та супутні послуги, які відповідають вимогам замовника та нормативним вимогам. Тут йдеться не лише про виробництво, а й про проєктування та розробку, зберігання й розповсюдження, встановлення чи обслуговування медичного пристрою. ISO 13485:2016 також можуть використовувати постачальники чи ті, хто надає продукцію.

Якщо до нас звертаються медичні виробники, які зараз постачають продукцію для наших захисників, ми консультуємо їх чи забезпечуємо сертифікацію своїм коштом. Наприклад, нещодавно провели безкоштовну сертифікацію для клієнта, що виробляє турнікети для військових.

Як враховуються особливості конкретних підприємств

Для кожного нового клієнта ми формуємо команду, яка враховує особливості компанії і сфери її роботи, часто залучаємо вузьких експертів. Наприклад, для ІТ-сфери це може буди мережевий експерт, криптограф чи IT-менеджер, для медицини –  проєктанти чи виробники в певній сфері.

Якщо ми не маємо аудиторів чи консультантів в Україні, то можемо запросити команду з ЄС. Але зараз із цим інколи виникають проблеми: не всі наважуються їхати. Тому, перш ніж згодитись на проєкт, ми завжди оцінюємо, чи зможемо забезпечити клієнту найкращий супровід.

Для зручності клієнтів у нас також є сертифікаційні центри за кордоном: у Німеччині, Португалії, Естонії, США, Азербайджані, Казахстані тощо. В Україні ми також є партнерами німецького сертифікаційного органу UNICERTАкредитація DAkkS, швейцарського Swiss ApprovalАмериканська акредитація IAS, ASCB, URS.

Часто для ринку ЄС необхідна локальна європейська акредитація, а в США краще отримати американську. Ми організовуємо консалтинг і сертифікацію по всьому світу, незалежно від місця знаходження чи реєстрації компанії. Бо буває так, що операційний ІТ-бізнес знаходиться в Україні, а представництва розташовані в інших країнах.

Залишайте заявку – і наші спеціалісти зроблять спеціальну пропозицію для вас.

Залишити заявку