Аудит компаний по стандарту ISO 27001:2005 направлен на выявления угроз в области информационной безопасности и уровне их влияния на бизнес компаний. Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Предсертификационный аудит

Сбор и анализ данных про информационные активы компании, системы и бизнес-процессы их создания, хранения и обработки, а также владельцев и пользователей таких активов. На основании результатов анализа данных, полученных в процессе аудита, определяются риски информационной безопасности, вероятность возникновения этих рисков и степень влияния рисков на бизнес компании - возможного уровня финансового и нематериального ущерба.

Сертификация компаний

Процесс контрольного (сертификационного) аудита компании и проверки соответствия Системы Управления Информационной Безопасностью (СУИБ) требованиям стандарта ISO/IEC 27001:2005. Выполняется уполномоченными органом по сертификации систем менеджмента.

Включает стадию проверки наличия документации - политик, процедур, методик и других документов, описывающих действия в рамках СУИБ. Контролируется наличие базы рисков информационной безопасности, системы оценки, прогнозирования и управления такими рисками для уменьшения вероятности их возникновения и реализации. Проводится интервьюирование персонала компании и проверка выполнения требований и процессов документации СУИБ.

При успешном прохождении контрольного аудита компании выдается Сертификат соответствия Системы Управления Информационной Безопасности стандарту ISO/IEC 27001:2005. В течение срока действия Сертификата периодически проводится контрольный аудит.