Ankstesnis Svetainių kūrimas Kitas Įsilaužimo testavimas

ISO 27001 ir SOC 2 atitikties konsultavimas

Įmonių pirkėjai vis dažniau reikalauja ISO 27001 arba SOC 2 — ypač po to, kai ES sugriežtino NIS2 vykdymą. Sertifikatas atveria sandorius, kainuojančius šimtus tūkstančių eurų, tačiau pasiruošimas reikalauja mėnesių politikų kūrimo, įrodymų rinkimo ir auditoriaus koordinavimo. Mes tai padarome visą.

Nuo “norime sertifikato” iki “turime sertifikatą”

Fiksuotos kainos projektas, apimantis visą pasiruošimo ciklą. Kaina nesikeičia, jei trunka ilgiau; mes prisiimame rizikos dėl trukmės.

Trūkumų analizė

Išsamus jūsų esamos būklės vertinimas pagal kontrolių sistemą. Prioritizuota pagal audito blokavimo sunkumą. Visą darbų sąrašą matote prieš pasirašydami.

Politikų kūrimas

Pilnas politikų rinkinys, parašytas pagal jūsų verslą: informacijos saugumas, leistinas naudojimas, prieigos valdymas, incidentų reagavimas, tiekėjų valdymas, pakeitimų valdymas, verslo tęstinumas, nelaimių atkūrimas.

Kontrolių įgyvendinimas

Techninės kontrolės įdiegtos: MFA vykdymas, registravimo konfigūracija, pažeidžiamumų valdymas, šifravimas ramybės būsenoje, atsarginio kopijavimo patikrinimas, tiekėjų rizikos vertinimo procesai. Realus įgyvendinimas jūsų aplinkoje su einamaisiais įrodymais.

Įrodymų rinkimas

Įrodymų kambarys, kurio klausia kiekvienas auditorius: prieigos peržiūros, pakeitimų žurnalai, pažeidžiamumų nuskaitymo istorija, mokymų užbaigimas, tiekėjų peržiūros, verslo tęstinumo testai. Sutvarkyti pagal kontrolę, paruošti perduoti.

Ryšiai su auditoriais

Dirbame tiesiogiai su jūsų pasirinktu auditoriumi. Koordinuojame audito grafiką, ruošiame jūsų komandą pokalbiams, atsakome į įrodymų prašymus ir valdome išvadų šalinimą tarp 1 etapo ir 2 etapo (arba SOC 2 I tipo / II tipo).

Metinis stebėjimas

Gavus sertifikatą, darbas nesibaigia. Metiniai stebėjimo auditai, nuolatinio stebėjimo įrodymų rinkimas, politikų peržiūros ritmas. Pasirinktinis mėnesinis mokestis viskam palaikyti.

Sertifikavimo pasiruošimo procesas

Trūkumų analizė ir apimties nustatymas

Vertiname jūsų esamas kontroles pagal atitinkamą sistemą (ISO 27001 A priedo A arba SOC 2 patikimumo paslaugų kriterijai). Išvestis: prioritizuotas trūkumų sąrašas, šalinimo grafikas ir fiksuotos kainos pasiūlymas visam pasiruošimo projektui.

Šalinimas ir politikos kūrimas

Rašome politikų rinkinį, įgyvendiname technines kontroles, vykdome pažeidžiamumų valdymo programą ir renkame įrodymus lygiagrečiai. Savaitiniai atnaujinimai jus informuoja kiekviename etape.

Auditas

Koordinuojame auditą su jūsų pasirinktu sertifikavimo organu arba CPA įmone, valdome įrodymų kambarį, ruošiame jūsų komandą auditoriaus pokalbiams ir tvarkome 2 etapo arba II tipo išvadas. Esame prieinami visą audito uždarymo laikotarpį.

Skverbimosi testai ir ISO/SOC 2 yra vienas projektas

ISO 27001 kontrolė A.8.8 reikalauja pažeidžiamumų valdymo. SOC 2 CC7.1 reikalauja to paties. Abiejų reikalaujami reguliaraus išorinio testavimo įrodymai — tai reiškia, kad mūsų skverbimosi testų paslauga jau rengia artefaktą, kurio norės jūsų auditorius. Abiejų derinimas reiškia, kad testavimo ritmas, šalinimo sekimas ir audito įrodymai vykdomi viename koordinuotame sraute.

Mūsų vCISO mėnesinis mokestis paprastai papildo projektą: kažkas valdo saugumo programą nuolat, dalyvauja audite ir atstovauja jūsų verslui prieš auditorių. Dauguma klientų vykdo skverbimosi testus, ISO/SOC 2 pasiruošimą ir vCISO mėnesinį mokestį kaip vieną bendrą programą.

Dažniausiai užduodami klausimai

Kiek laiko trunka ISO 27001 sertifikavimas?

Nuo paleidimo iki sertifikavimo sprendimo ISO 27001 paprastai trunka 4–9 mėnesius, priklausomai nuo jūsų pradinio taško. Įmonės be ankstesnių saugumo kontrolių trunka ilgiau; tos, turinčios esamas saugumo praktikas ir dokumentaciją, gali judėti greičiau. Mūsų trūkumų analizė (1 savaitė) pateikia tikslų grafiko įvertinimą prieš prasidedant pagrindiniam projektui.

SOC 2 prieš ISO 27001 — kurio man reikia?

SOC 2 pirmiausia reikalaujamas JAV įmonių pirkėjų ir tampa standartu SaaS įmonėms, parduodančioms JAV rinkoje. ISO 27001 yra labiau paplitęs Europos įmonių pirkimuose ir vis dažniau reikalaujamas pagal NIS2 tiekimo grandinės įpareigojimus. Jei parduodate abiejose rinkose arba jūsų pirkėjai yra dideli tarptautiniai koncernai, gali prireikti abiejų. Nustatome kombinuotus projektus, tenkinančius abiejų sistemų reikalavimus su bendra įrodymų baze — paprastai 20–35% pigesnius nei dvi atskiros programos.

Kiek kainuoja SOC 2 / ISO 27001 atitiktis?

Mūsų fiksuotos kainos projektas vienai sistemai (ISO 27001 arba SOC 2 I tipo) prasideda nuo €25,000. SOC 2 II tipo arba dviguba ISO 27001 ir SOC 2 programa nustatoma individualiai. Projekto kaina apima trūkumų analizę, politikų kūrimą, techninių kontrolių įgyvendinimą, įrodymų rinkimą ir ryšius su auditoriais. Sertifikavimo organo arba CPA įmonės audito mokestis yra atskiras (paprastai €5,000–€20,000, priklausomai nuo organizacijos dydžio).

Koks skirtumas tarp SOC 2 I tipo ir II tipo?

SOC 2 I tipas yra konkretaus laiko momento vertinimas: jis patvirtina, kad jūsų kontrolės yra tinkamai suprojektuotos konkrečią dieną. SOC 2 II tipas apima laikotarpį (paprastai 6–12 mėnesių) ir patvirtina, kad jūsų kontrolės veikė efektyviai viso to laikotarpio metu. Įmonių pirkėjai ir pirkimų komandos aiškiai teikia pirmenybę II tipui, nes jis įrodo veiklos nuoseklumą, o ne tik projektinį ketinimą. Rekomenduojame iš karto pereiti prie II tipo, nebent turite konkretų artimą terminą, reikalaujantį I tipo tiltinio.

Ar reikia ISO 27001 BDAR atitikčiai?

ISO 27001 nereikalaujamas pagal BDAR, tačiau iš esmės palaiko BDAR atitiktį. BDAR 32 straipsnis reikalauja “tinkamų techninių ir organizacinių priemonių” asmens duomenims apsaugoti — ir ISO 27001 ISMS yra pačios tiesiausiai ginamybę turintys įrodymai, kad tokios priemonės egzistuoja. Daugelis Duomenų apsaugos institucijų (DPA) ir reguliuotojų laiko ISO 27001 sertifikavimą kaip stiprius BDAR saugumo įpareigojimų atitikties įrodymus. Jei apdorojate didelius ES asmens duomenų kiekius, ISO 27001 verta siekti vien dėl reguliavimo rizikos valdymo.

Ar galite tvarkyti tiek SOC 2, tiek ISO 27001 viename projekte?

Taip, ir rekomenduojame tai, jei reikia abiejų. Kontrolių sistemos gerokai sutampa: maždaug 70% ISO 27001 A priedo A kontrolių atitinka SOC 2 patikimumo paslaugų kriterijus. Vykdome vieningą įrodymų rinkimo programą, tenkinančią abi sistemas, sumažinant bendrą kainą ir praėjusį laiką, palyginti su dviejų atskirų programų nuosekliu vykdymu. Patarimų dėl sekos teikiame pagal tai, kurio sertifikato jūsų pirkėjai reikalauja pirmiausia.

Atitiktis be konsultacinės įmonės antkainio

Papasakokite, kurio sertifikato siekiate ir kokius įrodymus jau turite — grįšime su apimtimi ir fiksuota kaina.

Susisiekti →    Penetration Testing →
AGENTŲ POKALBIS
Sistema: Saugi jungtis užmegzta. Laukiama įvesties...