Интегрированная система — Качество + Информационная безопасность
ИСМ ИСО 9001 + ИСО 27001 (ISO 9001 + ISO 27001) — Качество и информационная безопасность
Интегрированная система менеджмента (ИСМ) на базе ИСО 9001 (ISO 9001:2015) и ИСО 27001 (ISO/IEC 27001:2022) объединяет управление качеством процессов и защиту информационных активов в единую систему. Эта комбинация особенно востребована IT-компаниями, разработчиками ПО, SaaS-провайдерами и финтех-организациями.
Оба стандарта построены по структуре высокого уровня (HLS): идентичные разделы 4–10 (контекст, лидерство, планирование, поддержка, деятельность, оценка, улучшение). ИСО 27001 дополнительно содержит Приложение А с 93 мерами защиты (controls), сгруппированными в 4 категории. Структурное совпадение позволяет создать единую документацию и проводить совмещённые аудиты.
В России стандарты введены как ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021. Требование 152-ФЗ «О персональных данных» и Приказов ФСТЭК усиливает спрос на ИСО 27001 среди российских организаций. Интеграция с ИСО 9001 экономит 25–30% бюджета.
Кому нужна ИСМ ИСО 9001 + ИСО 27001
- IT-компании и разработчики ПО — заказчики из корпоративного сектора требуют подтверждение качества процессов (ИСО 9001) и защиты данных (ИСО 27001)
- SaaS и облачные провайдеры — два сертификата дают доверие клиентов, размещающих данные в облаке
- Финтех и банковские IT-подразделения — ЦБ РФ рекомендует ИСО 27001, корпоративные клиенты требуют ИСО 9001
- IT-аутсорсинг — международные заказчики ожидают оба сертификата от подрядчиков
- Системные интеграторы — работа с госсектором и крупным бизнесом (44-ФЗ, 223-ФЗ)
- Операторы персональных данных — ИСО 27001 покрывает требования 152-ФЗ по защите ПДн
Матрица интеграции — общие и уникальные элементы
| Раздел HLS | Общее | ИСО 9001 (качество) | ИСО 27001 (ИБ) |
|---|---|---|---|
| 4. Контекст | Заинтересованные стороны, область | Требования потребителей | Требования к защите информации |
| 5. Лидерство | Обязательства, роли, политика | Политика качества | Политика ИБ |
| 6. Планирование | Риски и возможности, цели | Цели качества | Оценка рисков ИБ, план обработки рисков, Приложение А |
| 7. Поддержка | Ресурсы, компетентность, документация | — | — |
| 8. Деятельность | Операционное планирование | Процессы выпуска продукции/услуг | Оценка и обработка рисков ИБ, внедрение мер защиты |
| 9. Оценка | Мониторинг, аудит, анализ руководства | Удовлетворённость клиентов | Эффективность мер защиты, результативность СУИБ |
| 10. Улучшение | Несоответствия, корректирующие действия | — | Управление инцидентами ИБ |
Приложение А ИСО 27001:2022 — 93 меры защиты
Уникальный элемент ИСО 27001 — Приложение А, содержащее 93 меры защиты (controls) в 4 категориях:
| Категория | Кол-во мер | Примеры |
|---|---|---|
| Организационные | 37 | Политики ИБ, управление активами, контроль доступа, управление инцидентами |
| Кадровые | 8 | Проверка при найме, осведомлённость, дисциплинарные процедуры |
| Физические | 14 | Периметр безопасности, оборудование, носители информации, утилизация |
| Технологические | 34 | Аутентификация, шифрование, мониторинг, резервное копирование, сетевая безопасность |
Организация выбирает применимые меры на основе оценки рисков и документирует их в Заявлении о применимости (SoA — Statement of Applicability).
Этапы внедрения ИСМ ИСО 9001 + ИСО 27001
Внедрение интегрированной системы занимает от 4 до 10 месяцев.
Оценка текущих процессов качества и состояния ИБ. Инвентаризация информационных активов. Определение разрывов.
Единая политика в области качества и ИБ. Определение области применения СУИБ (информационные активы, процессы, площадки).
Идентификация угроз и уязвимостей. Оценка рисков ИБ (методология: ISO 27005 или собственная). Выбор мер из Приложения А. Составление Заявления о применимости.
Единое руководство по ИСМ, процедуры управления рисками, политики ИБ, инструкции для персонала. Общая система документированной информации.
Техническая реализация: контроль доступа, шифрование, мониторинг, резервное копирование, управление инцидентами. Организационные меры: обучение, процедуры.
Аудит по обоим стандартам. Проверка эффективности мер ИБ и процессов качества. Устранение несоответствий.
Stage 1 (документация и SoA) + Stage 2 (аудит на месте). Выдача двух сертификатов — ИСО 9001 и ИСО 27001.
Типичные ошибки при интеграции
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| Формальная оценка рисков ИБ (шаблон без реальных угроз) | Несоответствие на аудите ИСО 27001 | Реальная идентификация угроз и уязвимостей для конкретных активов |
| SoA без обоснования исключений | Аудитор потребует обоснование каждого исключённого контроля | Документированное обоснование исключения каждой неприменимой меры |
| IT-отдел внедряет ИСО 27001 изолированно от СМК | Потеря синергии, дублирование процедур | Единая команда ИСМ: качество и ИБ интегрируются на уровне процессов |
| Нет процедуры управления инцидентами ИБ | Критическое несоответствие | Формализованная процедура: обнаружение → классификация → реагирование → анализ |
| Отсутствие программы осведомлённости персонала | Человеческий фактор — главная угроза | Регулярные тренинги по ИБ: фишинг, пароли, social engineering |
ИСМ ИСО 9001 + ИСО 27001 в России
Комбинация ИСО 9001 + ИСО 27001 особенно актуальна для российского IT-рынка. Российские стандарты: ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021 (примечание: ГОСТ основан на версии 2013 года, актуальная международная — 2022).
Регуляторные требования
ИСО 27001 помогает выполнить требования: 152-ФЗ «О персональных данных», Приказы ФСТЭК №17 и №21 (защита информации в ГИС и ИСПДн), Положения ЦБ РФ (для финансовых организаций). Наличие ИСО 27001 упрощает прохождение проверок регуляторов.
Сроки и стоимость
Внедрение ИСМ: 4–10 месяцев. Стоимость сертификации: от 80 000 ₽ для компаний до 50 человек, от 150 000 ₽ для средних (50–200). Экономия 25–30% по сравнению с раздельной сертификацией. Подробный расчёт.
Выбор органа по сертификации
Аудиторская команда должна иметь квалификацию по обоим стандартам. Рекомендуем: SGS, BSI, Bureau Veritas, TÜV, DNV. Для международного признания — орган с аккредитацией IAF MLA.
Преимущества ИСМ ИСО 9001 + ИСО 27001
Два ключевых сертификата для корпоративного рынка
Единая документация, совмещённый аудит
ИСО 27001 покрывает требования к защите ПДн
44-ФЗ, 223-ФЗ, закупки банков и госкорпораций
Оба сертификата признаются глобально
Интегрированная оценка рисков качества и ИБ
Часто задаваемые вопросы
ИСО 9001 подтверждает качество процессов разработки, тестирования и поддержки ПО. ИСО 27001 — защиту данных клиентов и собственной интеллектуальной собственности. Вместе они дают корпоративным заказчикам полное доверие: продукт качественный и данные в безопасности. Для SaaS-компаний это фактически обязательный набор.
25–30% бюджета и 30–40% времени. Основные источники: единая документация (руководство по ИСМ вместо двух отдельных), совмещённый аудит (один визит аудиторской команды), общая программа обучения, единая процедура управления рисками. Для компании из 100 человек экономия — 30 000–60 000 ₽ на сертификации.
Да, это самый распространённый сценарий. При действующей СМК по ИСО 9001 добавление ИСО 27001 занимает 3–6 месяцев. Общие элементы (документация, аудиты, анализ руководства) уже работают. Специфика ИСО 27001: оценка рисков ИБ, Заявление о применимости (SoA), внедрение мер из Приложения А, процедура управления инцидентами.
SoA (Statement of Applicability) — ключевой документ ИСО 27001. Содержит все 93 меры защиты из Приложения А с указанием: применима мера или нет, обоснование включения/исключения, статус внедрения. Аудитор проверяет SoA в первую очередь. Без качественного SoA сертификация ИСО 27001 невозможна.
Да, ИСО 27001 покрывает большинство технических и организационных мер защиты персональных данных, требуемых 152-ФЗ и Приказами ФСТЭК (№17, №21). Наличие сертификата ИСО 27001 упрощает прохождение проверок Роскомнадзора и демонстрирует due diligence в области защиты ПДн.
Сертификация: от 80 000 ₽ (до 50 человек), от 150 000 ₽ (50–200 человек), от 250 000 ₽ (200+). Консалтинг и внедрение: от 200 000 ₽. Общая стоимость проекта для средней IT-компании: от 350 000 ₽. Ежегодные надзорные аудиты — 50–60% от первичной сертификации.
Большинство крупных органов сертификации проводят совмещённые аудиты ИСО 9001 + ИСО 27001: SGS, BSI (British Standards Institution), Bureau Veritas, TÜV SÜD, DNV. Аудиторская команда включает специалистов по обоим стандартам. По итогам одного аудита выдаются два отдельных сертификата.
Основное изменение — обновлённое Приложение А: вместо 114 мер в 14 категориях — 93 меры в 4 категориях (организационные, кадровые, физические, технологические). Добавлены 11 новых мер, включая threat intelligence, cloud security, data masking, secure coding. Требования основной части (разделы 4–10) существенно не изменились.
Бесплатная консультация по ИСМ ИСО 9001 + ИСО 27001
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности