Сертификация по ISO/IEC 27001 в Казахстане часто начинается с простого вопроса: «Какие бумаги реально нужны, чтобы пройти аудит, а не утонуть в папках?». Правильный ответ — нужна документация ISO 27001, которая не для галочки, а помогает управлять рисками, инцидентами и доступами так же уверенно, как бухгалтерия управляет финансами.
Ниже — практичный список того, что аудиторы обычно ожидают увидеть в рамках СУИБ (системы управления информационной безопасностью), и что действительно облегчает жизнь бизнесу.
Что ISO 27001 считает обязательным
Стандарт требует документированную информацию — это и документы, и записи (доказательства выполнения). Важно: формулировки ISO 27001 дают компании свободу в формате, но не в сути. То есть можно вести документы в Confluence, SharePoint или в виде регламентов — главное, чтобы они были актуальны, согласованы и применялись.
Перед тем как переходить к чек-листу, запомните правило аудита: если процесса нет в документах — его как будто не существует; если есть в документах, но нет записей — он “не живёт”.
Полный список: документы и записи, которые стоит подготовить
Ниже перечислены ключевые документы ISO 27001, которые чаще всего проверяются в первую очередь. Этот набор закрывает требования к управлению, рискам и контролям.
- Область применения СУИБ (Scope): что входит (подразделения, сервисы, площадки), что исключено и почему.
- Политика ИБ (информационной безопасности): базовые принципы, роли, обязательства руководства, общий “тон сверху”.
- Цели ИБ и планы их достижения: измеримые цели (например, сроки реагирования, % обучения, снижение критичных уязвимостей) и кто отвечает.
- Методика оценки рисков ИБ: как вы считаете риски (критерии, шкалы, вероятность/ущерб, приемлемость).
- Реестр рисков (результаты оценки): какие риски выявлены и их уровень.
- План обработки рисков (Risk Treatment Plan): какие меры выбираете, сроки, ответственные, остаточный риск.
- Заявление о применимости (SoA / Statement of Applicability): какие меры контроля применяются/не применяются и обоснование.
- Управление документированной информацией: правила создания, согласования, версионности, доступа и хранения документов.
- Компетентность и обучение: матрица компетенций, планы обучения и записи прохождения (особенно по фишингу и работе с данными).
- Программа внутренних аудитов и результаты: план, чек-листы/протоколы, несоответствия, корректирующие действия.
- Анализ со стороны руководства (Management Review): повестка, решения, действия и сроки.
- Журнал несоответствий и корректирующих действий: причины, план исправления, проверка эффективности.
После внедрения этого ядра добавляются процедуры, которые не всегда прописаны одной строкой как обязательные, но без них аудит почти всегда превращается в стресс-тест.
Какие процедуры почти неизбежны на практике
Чтобы документация ISO 27001 работала, а не лежала мертвым грузом, бизнесу обычно нужны понятные регламенты по ежедневным вопросам. СУИБ — это не про толстый том, а про предсказуемые действия.
Обычно в пакет входят:
- управление доступами (выдача/изменение/отзыв, MFA, права по ролям);
- управление инцидентами (как фиксируете, эскалация, уроки, отчётность);
- классификация информации и правила обращения (что можно отправлять, где хранить);
- резервное копирование и восстановление (RTO/RPO, тесты восстановления);
- управление изменениями в ИТ (чтобы “релиз в пятницу вечером” не стал привычкой);
- управление поставщиками (требования ИБ в договорах, оценка рисков подрядчиков).
Кстати, компании, которые формализуют доступы и инциденты, обычно быстрее ловят повторяющиеся проблемы — меньше простоев и меньше сюрпризов в проверках клиентов.
Типовые ошибки, из-за которых аудит затягивается
Чаще всего проблемы не в том, что не хватает документов, а в том, что документы не подтверждены действиями. Проверьте себя по короткому списку:
- политика есть, но сотрудники её не видели (нет обучения/ознакомления);
- риски оценены “один раз” и не обновляются при изменениях в бизнесе;
- SoA составлен формально, без логики выбора контролей;
- внутренний аудит проведён, но корректирующие действия не доведены до конца;
- записи (журналы, протоколы, отчеты) не хранятся или неуправляемы по версиям.
Как собрать пакет документов быстрее и без лишней бюрократии
Подход “сразу написать всё” редко работает. Гораздо эффективнее собрать минимально достаточный набор, привязать его к реальным процессам и постепенно расширять. Так BALTUM BUREAU обычно помогает компаниям пройти путь от разрозненных правил к управляемой СУИБ: с понятными владельцами процессов, простыми формами записей и логичной структурой.
Если вам нужен ориентир по составу пакета, примеры форм и логика подготовки к аудиту в Казахстане, удобно начать с материалов и консультации на сайте: https://iso27001.kz/. Там проще сверить, какие документы ISO 27001 нужны именно вашему типу бизнеса и как оформить политику ИБ, чтобы она работала в реальности, а не только на проверке.
