Помогает выйти на новые рынки. Зачем бизнесу проходить сертификацию ISO и сколько она стоит

Baltum Büroo организовывает сертифицикацию по стандартам ISO для IT-компаний, медицинских предприятий, бюро переводов и производителей. Сейчас бюро оказывает услуги организациям по всему миру. Сертификация упрощает работу с клиентами из-за границы, подтверждает безопасность, устойчивость и надежность бизнес-процессов.

В партнерском материале с Baltum аудитор компании Кирилл Проскурня рассказал, что такое сертификация, зачем она нужна и чем различается для IT-компаний и других сфер.

Что такое сертификация вообще

Представьте себе, что вы выбираете технику. Конечно, вы обратите внимание на то, есть ли гарантийный талон. Так же и с услугами компаний: если у компании есть сертификация – это своего рода гарантийный талон на ее услуги. Клиент уверен, что результаты работы будут соответствовать международным стандартам, а руководители готовы даже к форс-мажорам.

Стандарты, которым должна соответствовать компания из определенной сферы – медицины, кибербезопасности, управления окружающей средой, энергопотребления и так далее – разрабатывает и публикует Международная организация стандартизации (ISO). Сертификаты подтверждают, что компания отвечает этим стандартам.

К примеру, один из наших клиентов пришел к нам после того, как не смог принять участие в тендере, потому что европейский заказчик требовал наличие сертификатов ISO 9001 и ISO 27001. Это норма для Европы и США и не только: крупные компании часто отмечают, что готовы работать только с компаниями, у которых есть ISO 27001. Это стандарты системы менеджмента информационной безопасности.

Зачем бизнесу проходить сертификацию

Партнеры и клиенты больше доверяют компании, у которой есть сертификация. 

Это свидетельство того, что руководство может эффективно управлять рисками, а деятельность компании прозрачна. К тому же сертификаты признают на международном рынке, что упрощает работу с клиентами из-за рубежа.

Часто наличие сертификации – одно из требований регуляторов, тендерных комитетов или законодательства.

Это означает, что у компании есть актуальные документы, законодательные и нормативные акты. Именно они влияют на достижение ее бизнес-целей и на то, как она будет выполнять юридические и договорные требования.

Сертификация показывает, что вы используете лучшие практики.

Так, стандарт ISO 27001 требует, чтобы компания поддерживала в актуальном состоянии IT-системы, антивирусную защиту, хранение и резервное копирование данных. Для того чтобы организация прошла сертификацию, она должна усовершенствовать систему документации и создавать четкие инструкции для персонала.

В условиях войны, к сожалению, требования зарубежных партнеров и клиентов не снизились, а, наоборот, выросли. Они хотят видеть, что обеспечена непрерывность бизнеса, а в планы включены все риски, которые у нас есть сейчас. Например, в офисах должны быть альтернативные источники питания, есть планы по релокации персонала и тому подобное.

Часто сертификация закрывает эти вопросы для партнеров. Потому что в ходе аудита мы как раз проверяем все эти требования. Важно отметить, что отчет является неотъемлемой частью сертификата, и зачастую зарубежным партнерам нужен как раз отчет об аудите.

Как работает Baltum – компания, которая проводит сертификацию

Сертификационный орган Baltum создали в 2020 году, как партнера украинской компании «Систем Менеджмент». К тому времени она организовывала сертификацию компаний уже в течение семи лет. Ее основатели Кирилл Проскурня, Елена Родионова и другие были консультантами по системам менеджмента.

Сейчас в основной команде около 15 человек: менеджеры, аудиторы и консультанты. А если учитывать дополнительных экспертов, которых привлекают к проектам, то команда может значительно расширяться. Также у нас есть специалисты в других странах.

Цена консалтинга и сертификации в Baltum обычно зависит от стандарта и конкретной компании: учитывается количество оценочных процессов, количество персонала и локаций. Потому ценник может быть и €1 тыс., и €35 тыс.

Как происходит сертификация

Клиенты могут заказывать только консалтинг, консалтинг и сертификацию или помощь в подготовке документов и обучение по стандартам.

Для каждой заявки от клиента мы выбираем аудитора с необходимой экспертизой. Он анализирует документацию и проводит интервью с работниками. Затем готовит отчет и представляет его на рассмотрение в технический комитет сертификационного органа. Если несоответствий нет, после одобрения компания получает сертификат, который будет действовать три года. Но каждый год бизнес должен проходить наблюдательный аудит и показывать, что он продолжает отвечать требованиям стандарта.

Сам процесс сертификации длится от одного до двух месяцев. Обычно есть несколько стадий, например, если речь идет об ISO 27001. На первой стадии аудитор анализирует документацию ISO 27001 и проверяет, выполнены ли все требования. Вторая стадия – аудит на локации, когда аудитор проводит интервью с персоналом и ищет доказательства, которые подтверждают выполнение стандарта.

Как проходит консалтинг

Если мы помогаем компании подготовиться к сертификации, это может занять от трех месяцев до двух лет.

Подготовка состоит из нескольких этапов. Например, для ISO 27001 мы делаем вот что:

1. Проводим диагностический аудит (GAP-анализ), который помогает понять, в каком состоянии активы и информационные ресурсы компании.
2. Обучаем персонал компании согласно требованиям стандарта. Мы разбираем каждый пункт, объясняем, как его нужно выполнять.
3. Разрабатываем процедуры: например, политика и цели информационной безопасности, реестр активов, оценка информационных рисков компании, политика управления персоналом, операционные процедуры управления IT и так далее.
4. Проводим внутренний аудит на основе стандарта ISO 27001, регистрируем несоответствия и рекомендуем, как их исправить.

Подготовка к сертификации IT-компании и сертификации

Основные отличия в IT-стандартах – это риски и активы, связанные с информацией. Мы должны оценить их и обеспечить разрешение.

Сам процесс аудита можно проводить дистанционно, если компания сервисная и это не дата-центр или банк. Это происходит так: с каждым работником аудитор проводит интервью и собирает доказательства, что прописанное в политиках и процедурах соответствует действительности. Обычно такой аудит может занять от двух до семи дней: зависит от размера компании.

Но если у бизнеса большая IT-инфраструктура – своя серверная, много помещений с ограниченным доступом – аудит обязательно проводят офлайн.

Для каждого стандарта нужно готовить определенный список обязательных документов. Обычно в этот процесс включены CTO, IT-менеджер, системный администратор, HR, юрист, продакт-менеджер и другие. Стандартный процесс подготовки в IT-компаниях к сертификации длится 6–8 месяцев, а затем еще около месяца требуется на саму сертификацию.

Если во время аудита мы находим некритические несоответствия, например, отсутствие каких-либо из политик или неполное выполнение политики, которая была прописана, то компания может получить сертификат. Но в следующем году аудитор должен проверить, исправила ли компания эти несоответствия.

Какие стандарты пользуются самым большим спросом в IT-сфере

Для IT-сферы есть основные стандарты. Независимо от выбранного стандарта, нужно проводить внутренние аудиты в компании. У каждого из них есть свои требования.

• ISO 27001 включает поддержку системы управления информационной безопасностью, оценку потенциальных рисков и выявление уязвимых зон. А также контроль и хранение информации для сотрудников и сторонних подрядчиков о рисках и отчетности об инцидентах.
• ISO 27701 ориентирован на систему управления персональными данными. В частности, для организаций, которые придерживаются GDPR Общие правила защиты данных большая часть требований и мер уже реализована. Все потому, что ISO 27701 в значительной степени основывается на правилах GDPR.
• ISO 9001 является основополагающим стандартом для всех компаний. Он включает в себя такие требования, как управление документацией и персоналом, внутренние аудиты, корректирующие и предупредительные действия.
• ISO 20000-1 сочетает требования ISO 9001 и ISO 27001. Он определяет управление IT-услугами как систему взаимосвязанных процессов и основан на ITIL Библиотека инфраструктуры информационных технологий, набор публикаций, которые содержат рекомендации по предоставлению качественных IT-услуг, а также процессов и компонентов, необходимых для их поддержки.

Кто еще может получать сертификацию: особенности для разных сфер

Для других сфер также производится сертификация. Все стандарты очень похожи по структуре, но каждый адаптирован под конкретную область. Поэтому мы приглашаем не только консультантов и аудиторов, которые знают требования стандартов, но и экспертов, которые разбираются в нужной клиенту сфере.

Сам процесс сертификации происходит одинаково для всех видов стандартов, отличается только команда и время, необходимое для прохождения.

Нельзя подсчитать, какая сфера требует больше времени, потому что на это влияет множество факторов. Например, если это IT-компания, где 500 человек, то аудит может занять 5–7 дней. А если это производство с 10 сотрудниками – не больше 1–2 дней.

В каждом стандарте сосредотачиваются на особенностях определенной сферы.

Например, есть сертификация для бюро переводов: ISO 17100 Услуги письменного перевода, ISO 18841 Услуги устного перевода и ISO 18587 Постредактирование машинного перевода. В этих стандартах описано, что дожны делать поставщики переводческих услуг, чтобы предоставлять качественные услуги.

Для компаний пищевой промышленности важно ISO 22000 Cистема менеджмента безопасности пищевых продуктов. Это международный стандарт для любых предприятий пищевой промышленности, в том числе производителей оборудования, упаковочных материалов, чистящих средств, пищевых добавок и ингредиентов.

Для сертификации предприятий, которые производят медицинские устройства, существует ISO 13485:2016 Cистема менеджмента качества предприятий. Чтобы соответствовать этому стандарту, компания должна предоставлять медицинские приборы и сопутствующие услуги, которые отвечают требованиям заказчика и нормативным требованиям. Здесь речь идет не только о производстве, но и о проектировании и разработке, хранении и распространении, установке или обслуживании медицинского устройства. ISO 13485:2016 также могут использовать поставщики или те, кто предоставляет продукцию.

Если к нам обращаются медицинские производители, которые сейчас поставляют продукцию для наших защитников, мы консультируем их или обеспечиваем сертификацию за свой счет. К примеру, недавно провели бесплатную сертификацию для клиента, который производит турникеты для военных.

Как учитываются особенности конкретных предприятий

Для каждого нового клиента мы формируем команду, которая учитывает особенности компании и сферы ее работы, часто привлекаем узких экспертов. Например, для IT-сферы это может быть сетевой эксперт, криптограф или IT-менеджер, для медицины – проектанты или производители в определенной сфере.

Если у нас нет аудиторов или консультантов в Украине, то можем пригласить команду из ЕС. Но сейчас с этим иногда возникают проблемы: не все решаются приезжать. Поэтому, прежде чем согласиться на проект, мы всегда оцениваем, сможем ли обеспечить клиенту наилучшее сопровождение.

Для удобства клиентов у нас есть сертификационные центры за рубежом: в Германии, Португалии, Эстонии, США, Азербайджане, Казахстане и так далее. В Украине мы также являемся партнерами немецкого сертификационного органа UNICERT Аккредитация DAkkS, швейцарского Swiss Approval Американская аккредитация IAS, ASCB, URS.

Зачастую для рынка ЕС необходима локальная европейская аккредитация, а в США лучше получить американскую. Мы организуем консалтинг и сертификацию по всему миру, независимо от места нахождения или регистрации компании. Потому что бывает так, что операционный IT-бизнес находится в Украине, а представительства расположены в других странах.

Оставляйте заявку – и наши специалисты сделают специальное предложение для Вас.