Орган з сертифікації систем менеджменту ДержНДІ технологій кібербезпеки надає послуги з сертифікації системи управління інформаційною безпекою (СУІБ) на відповідність стандарту ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) «Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги».

Послуга актуальна для об'єктів критичної інфраструктури (енергетика, вода, охорона здоров'я, харчування, транспорт і рух, інформаційні технології та телекомунікації), банків, фінансових організацій, страхових та будь-яких інших компаній (приватних та державних), що бажають захистити інформаційний ресурс, від якого залежить репутація організації та стабільність її діяльності. Захист інформації - один з ключових пріоритетів, якщо у бізнес-процесах присутня  інформація, що потребує захисту. Вище керівництво відповідає за організацію діяльності (систему менеджменту), і в основній мірі - за інформаційну безпеку. Головне завдання інформаційної безпеки - встановити можливі загрози для інформації (конфіденційності, цілісності, доступності), визначити вибір методів, які забезпечать захист даних та повний контроль за інформаційними ресурсами. Вимоги щодо побудови системи управління інформаційною безпекою визначає державний стандарт ДСТУ ISO/IEC 27001, ідентичний провідному міжнародному стандарту для впровадження цілісної системи управління інформаційною безпекою ISO/IEC 27001, що зосереджений на ідентифікації, оцінці та управлінні ризиками для процесів обробки інформації.

Орган з сертифікації, як третя незалежна сторона, оцінює відповідність впровадженої в організації (на підприємстві) СУІБ вимогам стандарту шляхом проведення сертифікаційного аудиту.

На 1 етапі сертифікаційного аудиту визначається зрілість СУІБ та чи готова вона до сертифікації. На 2 етапі сертифікаційного аудиту визначається результативність усіх процесів управління на місці відповідно до вимог ДСТУ ISO/IEC 27001.

Результатом виконання процедури сертифікації СУІБ, що відповідає всім вимогам стандарту, є видача сертифікату. Орган з сертифікації несе відповідальність за прийняте рішення щодо відповідності СУІБ (наданий сертифікат) і здійснює нагляд за СУІБ протягом дії сертифікату, що максимально становить 3 роки, шляхом перевірок на місці принаймні один раз на рік ключових компонентів СУІБ.

Ресертифікація (повторна сертифікація на новий трирічний період) проводиться завчасно до закінчення терміну дії сертифікату, щоб забезпечити постійну відповідність застосовним вимогам стандарту. Після отримання доказів відповідності видається новий сертифікат.

Роботи, зокрема проведення аудиту (попереднього, сертифікаційного тощо), виконуються на високому професійному рівні досвідченими аудиторами із залученням експертів ДержНДІ технологій кібербезпеки.

Орган з сертифікації не здійснює консалтинг та впровадження систем менеджменту.

Для замовлення сертифікації СУІБ- надішліть письмову заявку на електронну адресу: cab_ictip@cip.gov.ua