Продление сертификата ISO 27001 в Казахстане: как пройти ресертификацию без лишнего стресса

от Manager на

Сертификат ISO/IEC 27001 — це не «раз и навсегда». Он действует 3 года, при этом ежегодно проводятся надзорные проверки. На исходе цикла вас ожидает ресертификация — полноценная переоценка СУИБ (ISMS), после которой сертификат продлевается ещё на три года. Для бизнеса в Казахстане это критично: контрактные требования, участие в тендерах и доверие клиентов часто завязаны на действующем сертификате. ТОО «Балтум Бюро» помогает пройти этот путь предсказуемо и без авралов.

Когда начинать подготовку к продлению

Оптимально — за 6–9 месяцев до окончания действия сертификата. Такой горизонт позволяет закрыть несоответствия, обновить риск-реестр, провести обучение, а при необходимости — адаптироваться к требованиям ISO/IEC 27001:2022. Для компаний с распределённой структурой (Алматы, Астана, Караганда и регионы) это особенно важно: согласование графиков и сбор доказательств занимают время.

Что изменилось в версии ISO/IEC 27001:2022 и почему это важно при продлении

Даже если вы сертифицировались по версии 2013 года, при продлении потребуется учесть обновления 2022:

  • Приложение A реорганизовано: 93 контроли сгруппированы в 4 домена (Организационные, Людские, Физические, Технологические).

  • Появились новые темы: облака, управление идентичностями, защита данных при удалённой работе и др.

  • Уточнены требования к контексту организации, оценке рисков и показателям результативности.

Игнорировать это — значит увеличивать риск несоответствий на ресертификации и растягивать сроки.

Ключевые шаги успешного продления

Ниже — практический чек-лист, який учитывает типичные требования аудиторов и специфику казахстанского рынка (финансы, телеком, госзаказы, промышленность).
Пройдитесь по пунктам, чтобы увидеть «белые пятна» и спланировать работу.

  • Обновите контекст организации и заинтересованные стороны (изменения в процессах, ИТ-ландшафте, аутсорсинге, филиалах).

  • Пересмотрите оценку рисков: актуальность угроз, эффективные меры, критерии принятия риска.

  • Сопоставьте контроли с ISO/IEC 27001:2022 Annex A (карта старых/новых контролей, доказательства внедрения).

  • Проведите внутренний аудит и анализ со стороны руководства; оформите корректирующие действия с проверкой эффективности.

  • Обновите политику и процедуры: управление доступом, криптография, резервное копирование, логирование, DevSecOps, работа на удалёнке.

  • Проверьте непрерывность бизнеса (BCP/DR): результаты тестов, уроки и улучшения.

  • Укрепите управление поставщиками: оценки, договорные требования по ИБ, мониторинг.

  • Подтяните метрики (KPI/KRI) и цели в сфере ИБ: чтобы было видно результативность СУИБ.

  • Подготовьте «досье доказательств»: реестры, протоколы, отчёты, записи по инцидентам и обучению.

  • Согласуйте план ресертификации и надзорных аудитов с органом по сертификации, учитывая офисы и дата-центры.

Чем раньше начнёте — тем меньше риск форс-мажоров и «горящих» корректирующих действий на финише.

Внешний аудит: как проходит ресертификация

Ресертификация — это внешний аудит ISO 27001, проводимый независимым органом по сертификации. Он идёт в два этапа: документарная проверка и оценка внедрения на площадках (интервью, наблюдения, выборочные тесты). По итогам вы получаете обновлённый сертификат на 3 года, а затем вновь — ежегодные надзорные проверки. Для региональных компаний актуален очный аудит ISO 27001 Караганда, а также в Алматы и Астане; формат (онлайн/оффлайн) согласуется заранее.

Типичные ошибки при продлении (и как их избежать)

Множество несоответствий возникает не из-за «плохой безопасности», а из-за процесса:

  • не обновлён риск-реестр под новые активы и сервисы (облака, мобильные приложения);

  • формальные внутренние аудиты без реальной проверки эффективности;

  • неполные записи по обучению и осведомлённости персонала;

  • несогласованность документации и фактических практик в ИТ/DevOps;

  • слабое управление поставщиками и SLA по безопасности.

Решение — системная подготовка и сопровождение сертификации ISO 27001 со стороны практиков: от gap-оценки до предаудита.

Как ТОО «Балтум Бюро» поможет продлить сертификат

Мы работаем с компаниями по всему Казахстану и закрываем полный цикл подготовки к ресертификации:

  • экспресс gap-оценка и дорожная карта улучшений;

  • актуализация риска и картирование контролей к ISO/IEC 27001:2022;

  • настройка метрик, процедур, планов BCP/DR и управления поставщиками;

  • предсертификационный аудит (mock-audit) и сопровождение на аудите;

  • координация с органом по сертификации и планирование графика по площадкам (Алматы, Астана, аудит ISO 27001 Караганда).

Так вы снижаете риск несоответствий, экономите время команды и проходите ресертификацию с первого раза.

Готовы продлить сертификат без пауз и стрессов?

Оставьте заявку на консультацию на сайте iso27001.kz. Специалисты ТОО «Балтум Бюро» предложат план действий именно под ваши процессы, график и требования клиентов. Результат — предсказуемый внешний аудит ISO 27001 и устойчиво работающая СУИБ, которая помогает бизнесу выигрывать тендеры и сохранять доверие партнеров.