Сертификация
ISO 27001:2022
для ИТ-компаний
в Казахстане 

ISO 27001 -- это широко признанный в мире стандарт ISO/IEC 27001:2022, охватывает управление процессами информационной безопасности (СУИБ) согласно ИСО 27001 в организациях. Стандарт помогает компаниям систематически защищать конфиденциальные данные — от клиентской информации до интеллектуальной собственности. Актуальная версия — ISO/IEC 27001:2022 — включает 93 контроля безопасности, сгруппированных в 4 категории: организационные, кадровые, физические и технологические. Среди 11 новых контролей — анализ угроз (Threat Intelligence), безопасность облачных сервисов и предотвращение утечки данных (DLP). Зачем нужен ISO 27001: • Защита от кибератак и утечек данных — структурированный подход вместо хаотичных мер • Доверие клиентов — 78% корпоративных заказчиков требуют сертификат от подрядчиков • Доступ к международным рынкам — обязательное условие для работы с клиентами из ЕС, США, ОАЭ и Сингапура • Соответствие законодательству — покрывает более 70% технических требований GDPR и Закона РК о персональных данных Стандарт актуален для ИТ-компаний, финтех-стартапов, медицинских организаций и любого бизнеса, обрабатывающего персональные данные. Подробнее о преимуществах ISO 27001 для вашего бизнеса → (https://www.qmpetence.kz/post/iso-27001-dopolnitelnyje-preimuschestva) Стандарт ISO/IEC 27001 определяет чёткие регламенты, требования и правила к системам управления информационной безопасностью в компании, включая ИТ-компании и другие организации. Основная цель - обеспечить защиту данных и информации во избежание их потери или кражи. Данный стандарт хорошо сочетается с нормаи и требованиями GDPR. Подробнее о GDPR см. здесь → (https://www.qmpetence.kz/post/iso-27001-dopolnitelnyje-preimuschestva)по ссылке (https://www.qmpetence.kz/post/gdpr-dlya-malogo-biznesa-v-kazakhstane) Все эти меры помогают снизить риск утечки информации, а также повышает уровень доверия к бизнесу. В последние годы ИСО сертификация по требованиям стандарта ISO/IEC 27001:2022 быстро набирает популярность, часто является одним из требований в тендерах, как в РК, так и за границей, и рекомендуется самым разным организациям независимо от их формы собственности, размера или отрасли экономики, кто использует цифровые накопители данных и информационные технологии. Подробнее см. здесь. (https://www.qmpetence.kz/post/iso-27001-shto-eto-i-zachem-biznesu)

Стоимость сертификации ISO 27001 зависит от размера компании, сложности ИТ-инфраструктуры и выбранного сертификационного органа. Ориентировочные цены для Казахстана: Базовая сертификация (компании до 20 сотрудников): от €2 250 (при условии, что подготовку и внедрение делаете самостоятельно). Включает аудит Stage 1 и Stage 2 аккредитованным органом. Подготовка к сертификации (консалтинг): от €2 000 до €8 000 в зависимости от текущего уровня зрелости процессов и размера компании. Надзорные аудиты: от €1 200/год (проводятся ежегодно для поддержания сертификата) или обычно около 50 - 55% от стоимости сертификационного аудита в 1-й год.) Ресертификация (каждые 3 года): от €2 000 (-20 - 30% от стоимости сертификационного аудита в 1-й год.). Что влияет на итоговую стоимость: в какой стране зарегистрирован головной офис компании (для Казахстана - дешевле, для ЕС, США, ОАЭ - дороже), количество сотрудников и офисов, число информационных систем в scope, наличие действующих систем управления (ISO 9001 снижает стоимость), необходимость внедрения технических контролей. Лайфхак: одновременное внедрение ISO 27001 с другими стандартами (ISO 9001, ISO 13485) экономит 20–35% за счёт общих процессов — интегрированная система менеджмента и единого аудита. Qmpetence работает с аккредитованными органами напрямую, без посредников, что обеспечивает прозрачное ценообразование, а клиентов -- прямыми предложениями, в которх закрепляются условия на 3 года. Рассчитать стоимость для вашей компании →(https://qmpetence.kz/sertifikacja-iso-v-kazakhstane#iso-calculator)

Типичные сроки для компании с 20–100 сотрудниками: Ускоренный путь (35–60 дней) — если у компании уже есть базовые политики безопасности, документированные процессы и назначен ответственный за ИБ. Стандартный путь (60–90 дней) — для компаний, которые начинают внедрение СУИБ с нуля, но имеют мотивированную команду. Расширенный путь (90–180 дней) — для крупных организаций с распределённой инфраструктурой, несколькими офисами или сложной ИТ-архитектурой. Что ускоряет процесс: наличие действующей ISO 9001 (общая база документации), выделенный проектный менеджер со стороны компании, оперативное предоставление доступа аудиторам, параллельное внедрение контролей и подготовка документации. Что замедляет: отсутствие ответственного лица, необходимость значительных технических изменений в ИТ-инфраструктуре, большое количество сотрудников для обучения, длительные процессы согласования договоров со стороны клиентов (чаще всего юридических департаментов крупных компаний) и бюрократия.

Формально ISO 27001 не является обязательным стандартом в Казахстане. Однако на практике он становится необходимостью для большинства ИТ-компаний по нескольким причинам: Требования заказчиков. 78% корпоративных клиентов и международных организаций включают наличие сертификата ISO 27001 в условия тендеров и закупок. Без сертификата компания не проходит квалификационный отбор. Законодательство РК. Закон Республики Казахстан «О персональных данных и их защите» устанавливает требования, которые ISO 27001 покрывает системно. Сертификат демонстрирует compliance регулятору. Экспорт ИТ-услуг. Для работы с клиентами из ЕС, США, Сингапура, ОАЭ и других рынков наличие ISO 27001 — стандартная проверка при due diligence. Конкурентное преимущество. По данным клиентов qmpetence, годовой оборот сертифицированных ИТ-компаний вырос в среднем на 340% после получения сертификата — за счёт доступа к новым рынкам и контрактам. Вывод: юридически — нет. Стратегически — да, если вы планируете рост и работу с корпоративными заказчиками. Узнать, как ISO 27001 открывает новые рынки →(https://www.qmpetence.kz/post/podrobnoje-rukovodstvo-sertifikacja-iso-po-exportu-eu-usa-china)

Обновлённая версия ISO/IEC 27001:2022 принесла существенные изменения: Структура контролей полностью переработана. Вместо 114 контролей в 14 доменах — теперь 93 контроля в 4 тематических группах: организационные (37), кадровые (8), физические (14), технологические (34). Добавлено 11 новых контролей, отражающих современные угрозы: A.5.7 — Threat Intelligence (анализ угроз), A.5.23 — Безопасность облачных сервисов, A.8.12 — Предотвращение утечки данных (DLP), A.8.23 — Веб-фильтрация, A.8.28 — Безопасная разработка (Secure Coding), A.5.30 — ИКТ-готовность к обеспечению непрерывности бизнеса. Ключевые изменения для бизнеса: обязательный учёт облачных сервисов и удалённой работы, усиленные требования к управлению цепочками поставщиков, акцент на проактивный подход к безопасности через threat intelligence. Срок перехода: компании с сертификатом версии 2013 года должны были перейти на новую версию до 31 октября 2025 года. Все новые сертификации начиная с осени 2025 г. проводятся только по ISO 27001:2022. Новая версия более гибкая и ориентирована на риски. Меньше обязательных контролей, больше свободы в выборе мер защиты. Плюс учитывает современные угрозы: облака, удаленку, AI, цепочки поставок. См. также детальную статью о различиях в версиях: Часть 1,(https://www.qmpetence.kz/post/voprosy-otvety-iso-27001-novaya-versia-chast-1) Часть 2 (https://www.qmpetence.kz/post/iso-27001-2022-%D0%B2%D0%B0%D1%88%D0%B8-%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2-%D0%B2-%D1%87%D0%B5%D0%BC-%D1%81%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B5-%D0%BF%D1%80%D0%B5%D0%B8%D0%BC%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D0%B0-iso-iec-27001-2022)

ISO 27001 и GDPR (General Data Protection Regulation ЕС) дополняют друг друга. Внедрение ISO 27001 закрывает более 70% технических требований GDPR. Что ISO 27001 покрывает: управление доступом к персональным данным, шифрование данных при хранении и передаче, процедуры реагирования на инциденты (уведомление в 72 часа), оценку рисков для операций с данными, безопасность при работе с подрядчиками и поставщиками. Что нужно дополнительно для полного GDPR-compliance: назначение DPO (Data Protection Officer), ведение реестра обработки данных, обеспечение прав субъектов данных (доступ, удаление, переносимость), оценка воздействия на защиту данных (DPIA). Для компаний в Казахстане это двойная выгода: ISO 27001 одновременно обеспечивает соответствие Закону РК «О персональных данных и их защите» и подготавливает к работе с европейскими клиентами, требующими GDPR-compliance. Совет для оптимизации бюджета расходов от qmpetence : при внедрении ISO 27001 добавьте ISO 27701 (управление персональными данными) — это расширение, которое практически полностью закрывает требования GDPR и LGPD. Подробнее о требованиямх GDPR читайте здесь (https://www.qmpetence.kz/post/gdpr-dlya-malogo-biznesa-v-kazakhstane)

Да, удалённый аудит ISO 27001 — стандартная практика с 2020 года. Аккредитованные сертификационные органы (LRQA, Bureau Veritas, TÜV Rheinland, MSECB и другие) проводят аудиты дистанционно, но окончательное решение принимает сам орган на основе анализа каждой конкретного кейса. Какие этапы доступны удалённо: Stage 1 (документальный аудит) — проводится удалённо в большинстве случаев. Stage 2 (оценка внедрения) — может проводиться удалённо с обоснованием (географическая удалённость, ИТ-компания без физической инфраструктуры). Надзорные аудиты (ежегодные) — удалённо или в гибридном формате. Ресертификация — аналогично Stage 2. Как проходит удалённый аудит: видеоконференция с аудитором (Zoom, Teams), демонстрация экрана для показа систем и контролей, предоставление доступа к документации через защищённое облако, интервью с ключевыми сотрудниками онлайн. Это особенно удобно для компаний в Казахстане: снижает транспортные расходы, ускоряет процесс (нет привязки к командировкам аудитора) и позволяет работать с лучшими сертификационными органами мира. qmpetence имеет опыт сопровождения полностью удалённых сертификаций с аудиторами из Италии, Швейцарии и Канады.

Сертификат ISO 27001 выдаётся на 3 года с обязательными ежегодными надзорными аудитами. Год 1: получение сертификата (Stage 1 + Stage 2 аудит). Год 2: надзорный аудит №1 — проверка поддержания и улучшения СУИБ. Год 3: надзорный аудит №2 — аналогичная проверка. Год 4: ресертификация — полный аудит для продления ещё на 3 года. Важно: пропуск надзорного аудита приводит к приостановке, а затем к аннулированию сертификата. Планируйте бюджет и сроки заранее. qmpetence сопровождает клиентов на всех этапах жизненного цикла сертификата, включая подготовку к надзорным аудитам.

Да, обучение персонала — обязательное требование стандарта ISO 27001:2022 (раздел 7.2 «Компетентность» и 7.3 «Осведомлённость»). Кого и чему обучать: руководство — понимание рисков ИБ, распределение ответственности, выделение ресурсов. ИТ-команда — технические контроли, управление инцидентами, мониторинг. Все сотрудники — политика информационной безопасности, распознавание фишинга, правила обращения с данными. Формат обучения гибкий: очные тренинги, онлайн-курсы, тестирование через email-фишинг (социальная инженерия). Главное — документировать обучение и регулярно обновлять знания. qmpetence проводит обучение для ИТ-компаний Казахстана как отдельную услугу и как часть проекта подготовки к сертификации.

Qmpetence предлагает комплексную подготовку к сертификации «под ключ»: GAP-анализ — оценка текущего состояния ИБ и определение объёма работ. Разработка документации СУИБ — политики, процедуры, заявление о применимости (SoA), план обработки рисков, реестр активов. Оценка рисков — идентификация, анализ и приоритизация рисков по методологии стандарта. Обучение персонала — тренинги для руководства и ключевых сотрудников. Внутренний аудит — подготовительная проверка перед сертификационным аудитом. Сопровождение на аудите — поддержка при взаимодействии с сертификационным органом. Отдельно оплачивается: услуги сертификационного органа (аудит Stage 1 и Stage 2), внедрение технических контролей (если требуются изменения в ИТ-инфраструктуре). Qmpetence работает с сертификационными органами напрямую (Dimitto (Швейцария), MSECB (Канада) и другими) — без посредников. Рассчитать стоимость и запросить коммерческое предложение →(https://qmpetence.kz/sertifikacja-iso-v-kazakhstane#iso-calculator)

Для начала проекта сертификации ISO 27001 от вашей компании потребуется минимальный набор: До начала проекта: описание ИТ-инфраструктуры (системы, серверы, облачные сервисы), организационная структура компании, перечень основных бизнес-процессов, информация о текущих мерах безопасности. В процессе подготовки qmpetence разрабатывает: Политику информационной безопасности, Оценку рисков и План обработки рисков, Заявление о применимости (Statement of Applicability — SoA), Политику управления доступом, Процедуру управления инцидентами, План обеспечения непрерывности бизнеса, Программу внутренних аудитов. Общий объём документации: 15–25 документов в зависимости от scope. qmpetence предоставляет готовые шаблоны, адаптированные под законодательство РК.

Сертификат ISO 27001 признаётся международно при одном условии: он должен быть выдан органом с аккредитацией IAF (International Accreditation Forum). Как это работает: IAF объединяет национальные органы аккредитации из 100+ стран в рамках MLA (Multilateral Recognition Arrangement). Сертификат, выданный органом, аккредитованным через UKAS (Великобритания), Accredia (Италия), ANAB (США), DAkkS (Германия), признаётся без дополнительных проверок во всех странах-участниках. Осторожно: сертификаты от неаккредитованных органов (или органов с «самодельной» аккредитацией) не признаются международными заказчиками. Проверить аккредитацию можно на сайте IAF: iaf.nu(http://iaf.nu) Рекомендуемые органы для компаний из Казахстана (по соотношению цена/признание): Dimitto Italia Srl SB (Accredia), IMQ (Accredia), MSECB (IAS/ANAB), TÜV Rheinland (DAkkS), Bureau Veritas (UKAS). Qmpetence работает напрямую со всеми перечисленными органами и помогает выбрать оптимальный вариант для вашего рынка. О том, как выбрать и проверить орган по сертфикации читайте здесь(https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)

При выборе сертификационного органа проверяйте 5 критериев: 1. Аккредитация IAF — это критически важно. Только аккредитация через UKAS, Accredia, ANAB, DAkkS и другие члены IAF MLA обеспечивает международное признание. Аккредитация «от самих себя» — красный флаг. 2. Прямой договор — работайте с органом напрямую, без посредников. Это гарантирует прозрачность стоимости и прямую коммуникацию с аудиторами. 3. Опыт в вашей отрасли — для ИТ-компании важно, чтобы аудитор понимал специфику облачных сервисов, DevOps, SaaS-моделей. 4. Сертификат резидентства — для получения налогового вычета по КПН (корпоративный подоходный налог) в Казахстане запросите сертификат налогового резидентства у органа. 5. Возможность удалённого аудита — особенно актуально для ИТ-компаний. Рекомендация qmpetence по оптимальному выбору (от доступного к премиальному): Dimitto Italia Srl SB, а также чешские и словацкие органы — оптимальное соотношение цена/качество для стартапов и компаний до 100 чел. IMQ — широкий scope, включая медизделия. MSECB — канадский орган с признанием в Северной Америке. TÜV Rheinland — премиальное признание, особенно для немецких и европейских клиентов. Bureau Veritas — глобальный бренд для крупных корпоративных контрактов. О том, как выбрать и проверить орган по сертфикации читайте здесь(https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)

Процесс получения сертификата ISO 27001 в Казахстане состоит из 5 основных этапов: Этап 1. GAP-анализ (1–2 недели). Оценка текущего уровня информационной безопасности вашей компании. Определяются разрывы между действующими процессами и требованиями стандарта. Этап 2. Разработка СУИБ (2–6 недель). Создание политик, процедур и контролей безопасности. Включает оценку рисков, заявление о применимости (SoA) и план обработки рисков. Этап 3. Внедрение (2–4 недели). Запуск контролей в работу, обучение персонала, проведение внутреннего аудита для проверки готовности. Этап 4. Сертификационный аудит Stage 1 (1–3 дня). Документальная проверка — аудитор оценивает полноту и соответствие вашей документации требованиям стандарта. Этап 5. Сертификационный аудит Stage 2 (2–5 дней). Оценка практического внедрения — аудитор проверяет, как контроли работают на практике. Важно: выбирайте сертификационный орган с аккредитацией IAF (например, UKAS, Accredia, ANAB). Это гарантирует международное признание сертификата. Совет от Qmpetence: при подготовке компании с 20–100 сотрудниками весь процесс от старта до получения сертификата занимает от 30 до 60 дней (редко до 90) при грамотном планировании. Пошаговое руководство по сертификации ISO 27001 →(https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)

Да! Более того, они отлично дополняют друг друга. Можно даже проходить интегрированную сертификацию - это экономит до 35 - 40% бюджета и времени, поскольку проводится один аудит, но сразу по нескольким стандартам. Да, и это одна из самых эффективных стратегий. Интегрированная система менеджмента (ИСМ) позволяет объединить требования нескольких стандартов ISO в единую систему. Наиболее востребованные комбинации: ISO 27001 + ISO 9001 — информационная безопасность + управление качеством (для ИТ-компаний и аутсорсеров). ISO 27001 + ISO 13485 — для разработчиков медицинского ПО и IoT-устройств. ISO 27001 + ISO 37001 — для компаний, работающих с госзакупками и американскими клиентами (антикоррупция). ISO 27001 + ISO 27701 — для полного соответствия GDPR и законам о персональных данных. ISO 27001 + ISO 27017 — для облачных провайдеров и SaaS-компаний. Преимущества ИСМ: экономия 20–40% на внедрении и аудитах за счёт общих процессов, единая документация вместо параллельных систем, один внутренний аудит покрывает все стандарты. Подробнее по данному вопросу прочтите здесь Как сэкономить на сертификации с умом (https://www.qmpetence.kz/post/iso-sertifikacija-stoimost-kazakhstan-ekonomia)

Сертификаты по версии 2013 были действительны лишь до конца переходного периода (октябрь 2025 г.), локальные, с аккредитацией только внутри Казахстана, -- лишь внутри РК, а сертификаты с истёкшим сроком действия -- лишь до срока их действия при условии прохождения и оплаты стоимости надзорных аудитов. Во всех слуаях, если ваша цель расширить круг клиенов и поставщиков, следует переходить на новую версию ISO 27001:2022 с аккредитацией IAF или подобного органа. Если у вас старая версия - нужно переходить на 2022. Хорошая новость: внедрение ISO 27001 с переходом проще, чем внедрение iso и получение сертификата с нуля. Рассчитать стоимость и запросить коммерческое предложение по актуальной версии ISO 27001:2022 → (https://qmpetence.kz/sertifikacja-iso-v-kazakhstane#iso-calculator)

Да — и именно для небольших ИТ-компаний сертификация даёт максимальный эффект. Вот почему. Крупные корпорации получают контракты «по инерции» — на основе репутации и связей. Маленькая компания из 10 человек конкурирует экспертизой и доверием. Сертификат ISO 27001 — это документальное доказательство того, что ваши процессы безопасности соответствуют международным требованиям. Для заказчика это снимает главный риск: «а можно ли доверить им наши данные?» Когда это критически важно: Вы работаете с персональными данными клиентов (SaaS, финтех, HR-tech). Вы планируете выход на рынки ЕС, США, ОАЭ или Сингапура — там ISO 27001 проверяют при due diligence. Вы участвуете в тендерах — корпоративные заказчики включают ISO 27001 в обязательные требования. Вы привлекаете инвестиции — фонды оценивают зрелость процессов, и сертификат ISO повышает оценку компании. Преимущество малого бизнеса: внедрение ISO 27001 в компании из 10 человек проходит быстрее (45–60 дней вместо 90–180) и стоит значительно дешевле, чем в корпорации. Меньше систем в scope, меньше сотрудников для обучения, короче цепочки согласований. По данным клиентов qmpetence, ИТ-стартапы из Казахстана после сертификации увеличивают годовой оборот в среднем на 340% — за счёт доступа к контрактам, которые раньше были недоступны. Вывод: чем раньше вы получите сертификат, тем быстрее начнёте конвертировать его в контракты. Оптимальный момент — когда у вас появился первый корпоративный клиент или вы готовитесь к раунду инвестиций. Рассчитать стоимость сертификации здесь (https://www.qmpetence.kz/sertifikacja-iso-v-kazakhstane#sertificationproducts_calculatepx) Пошаговое руководство по сертификации для ИТ-бизнеса → (https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)(https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)

Формально — консультант не обязателен. Стандарт ISO 27001 не требует привлечения внешних специалистов. Можно внедрить СУИБ силами собственной команды. На практике самостоятельное внедрение несёт 5 конкретных рисков: 1. Неправильный scope. Самая частая ошибка — слишком широкий или слишком узкий охват СУИБ. Широкий scope увеличивает стоимость и сроки в 2–3 раза. Узкий — не покрывает реальные риски, и аудитор это обнаружит. 2. Документация «для галочки». Без опыта команда создаёт формальные политики, которые не отражают реальные процессы. На Stage 2 аудитор это выявит — несоответствие (nonconformity) и доработка за ваш счёт. 3. Пропуск обязательных требований. ISO 27001:2022 содержит 93 контроля. Без экспертизы легко упустить критичные — например, A.5.7 (Threat Intelligence) или A.8.12 (DLP), которые новые в версии 2022. 4. Выбор неаккредитованного органа. Без понимания системы IAF-аккредитации компании иногда получают сертификат от «серого» органа, который не признаётся международными заказчиками. Деньги потрачены — результат нулевой. 5. Сроки. Самостоятельное внедрение занимает 6–12 месяцев вместо 45–90 дней с консультантом. Это прямые потери: контракты, которые вы не получите за это время. Когда можно обойтись без консультанта: если в команде есть сертифицированный Lead Implementer или Lead Auditor ISO 27001, если у компании уже есть действующая ISO 9001 с отлаженной системой документации, если вы готовы потратить 6+ месяцев на изучение стандарта и самостоятельную разработку. Подход qmpetence: мы не «делаем за вас» — мы работаем с вашей командой, передавая знания. После проекта ваши сотрудники самостоятельно поддерживают СУИБ и проходят надзорные аудиты. Как выбрать консультанта по сертификации(https://www.qmpetence.kz/post/konsultant-sertifikacija-kazahstan-gid-kak-vybrat) Рассчитать стоимость для вашей компании → (https://qmpetence.kz/sertifikacja-iso-v-kazakhstane#iso-calculator)

За 25 лет работы с компаниями от Центральной Азии, Турции и Восточной Европы мы выделили 7 критических ошибок: Ошибка 1. Формальный подход — «купить сертификат». Компания хочет получить бумагу, не меняя процессы. Аудитор Stage 2 проверяет практическое внедрение: интервью с сотрудниками, проверка логов, тестирование контролей. Формализм обнаруживается за первые 2 часа аудита. Ошибка 2. Слишком широкий scope. Включение всех процессов и подразделений в scope — удорожание в 2–3 раза. Правильный подход: начните с критичных бизнес-процессов и ИТ-систем, расширяйте постепенно. Ошибка 3. Копирование чужих политик. Шаблоны из интернета не учитывают вашу специфику. Аудитор легко отличает «живой» документ от скопированного. Каждая политика должна отражать реальные процессы вашей компании. Ошибка 4. Игнорирование оценки рисков. Оценка рисков — ядро ISO 27001 (раздел 6.1). Некоторые компании делают её поверхностно или пропускают. Результат: заявление о применимости (SoA) не соответствует реальным угрозам, и аудитор выявляет major nonconformity. Ошибка 5. Отсутствие вовлечённости руководства. Стандарт требует «leadership commitment» (раздел 5). Если руководитель подписал политику, но не участвует в управлении рисками и не выделяет ресурсы — это nonconformity. Ошибка 6. Выбор неаккредитованного сертификационного органа. Сертификат от органа без IAF-аккредитации не признаётся международными заказчиками. Проверяйте аккредитацию на iaf.nu (http://iaf.nu)до подписания договора. Это довольно распространённая ошибка в малом и среднем бизнесе в Казахстане и Узбекистане. Ошибка 7. Забыть про непрерывное улучшение. ISO 27001 — не разовый проект, а цикл PDCA (Plan-Do-Check-Act). После сертификации нужны: внутренние аудиты, анализ со стороны руководства, обновление оценки рисков, корректирующие действия. Qmpetence помогает избежать всех 7 ошибок за счёт структурированной методологии и опыта 10+ успешных сертификаций в регионе. Подробнее о процессе подготовки к сертификации(https://www.qmpetence.kz/post/iso-27001-dla-it-biznesa-kazakhstana)

Госзакупки в РК и Узбекистане всё чаще требуют подтверждения информационной безопасности. Международный ISO 27001 дает дополнительные баллы при оценке - его признают партнеры в 100+ странах мира, и он принимается в любых тендерах внутри страны. Там, где требуется апостиль, мы предоставляем такую услугу, без доплат. Плюс - показывает серьезность намерений.