Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

ISO/IEC 27001 для украинских IT-стартапов в Польше — GDPR, корпоративные клиенты, разница с SOC 2

Зачем украинскому IT-стартапу, работающему в Польше, нужен сертификат ISO/IEC 27001:2022 — связь с GDPR, требования крупных корпоративных клиентов, сравнение со SOC 2 Type II.

Команда Multicert 10 мин czytania
КM

Команда Multicert

Multicert · Akredytowana jednostka certyfikująca

Украинский IT-стартап, открывший компанию в Польше и начинающий работу с польскими и западноевропейскими корпоративными клиентами, на определённом этапе сталкивается с тремя одновременными требованиями к информационной безопасности: соответствие GDPR, прохождение анкеты квалификации поставщика (Vendor Risk Assessment) с пунктом про ISO/IEC 27001, и иногда — параллельный запрос на SOC 2 Type II от клиента, штаб-квартира которого находится в США. Настоящая статья объясняет, как эти три режима соотносятся и почему ISO/IEC 27001:2022 является эффективным фундаментом для всех трёх.

Настоящая публикация носит информационный характер и не является коммерческим предложением. Формальная оценка стоимости сертификации составляется индивидуально после анализа заявки.

Что такое ISO/IEC 27001:2022

Стандарт ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements» опубликован 25 октября 2022 года Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Он определяет требования к системе менеджмента информационной безопасности (Information Security Management System, ISMS) — процессному подходу, обеспечивающему конфиденциальность, целостность и доступность информационных активов организации.

Стандарт делится на две части:

  • Основной текст (clauses 4–10) — требования к системе менеджмента (контекст организации, лидерство, планирование, поддержка, операционная деятельность, оценка эффективности, улучшение). Структура соответствует Harmonized Structure (Annex SL), применяемой ко всем стандартам систем менеджмента ISO.
  • Annex A — список из 93 control информационной безопасности, организованных в 4 теме: Organizational (37 control), People (8 control), Physical (14 control), Technological (34 control). Производитель выбирает применимые control на основании оценки рисков и обосновывает решения в Statement of Applicability (SoA).

Что нового ввела версия 2022

Версия 2022 заменила версию 2013 и ввела 11 новых control (по сравнению с предыдущей):

  1. Threat intelligence — сбор и анализ информации об угрозах.
  2. Information security for use of cloud services — управление безопасностью облачных сервисов.
  3. ICT readiness for business continuity — готовность ИКТ-инфраструктуры для непрерывности бизнеса.
  4. Physical security monitoring — мониторинг физической безопасности.
  5. Configuration management — управление конфигурациями.
  6. Information deletion — удаление информации.
  7. Data masking — маскирование данных.
  8. Data leakage prevention — предотвращение утечек данных.
  9. Monitoring activities — мониторинг деятельности.
  10. Web filtering — фильтрация веб-трафика.
  11. Secure coding — безопасное программирование.

Существующие сертификаты, выданные по версии 2013, должны быть приведены в соответствие с версией 2022 в течение трёхлетнего переходного периода с момента публикации (по решению IAF — до 31 октября 2025 г.; после этой даты сертификаты по версии 2013 утрачивают силу).

Связь с GDPR — что покрывает ISO 27001 и что нет

Общий регламент защиты данных (GDPR, Регламент (ЕС) 2016/679) требует от контролёра и обработчика персональных данных применения «надлежащих технических и организационных мер» (статья 32 GDPR). ISO/IEC 27001:2022 является эффективным инструментом демонстрации этих мер, но не покрывает все обязательства GDPR.

Что покрывает ISO 27001 в контексте GDPR:

  • Оценка рисков информационной безопасности (статья 32 GDPR).
  • Управление инцидентами безопасности (статья 33 GDPR — уведомление надзорного органа в течение 72 часов).
  • Управление доступом, шифрование, псевдонимизация.
  • Управление поставщиками и обработчиками персональных данных.
  • Непрерывность бизнеса.

Что НЕ покрывает ISO 27001 (но требует GDPR):

  • Правовая основа обработки персональных данных (статьи 6, 9 GDPR).
  • Права субъекта данных (доступ, исправление, удаление, переносимость).
  • Уведомление субъекта данных о нарушении (статья 34 GDPR).
  • Назначение Data Protection Officer (статья 37 GDPR — для определённых категорий обработчиков).
  • Оценка воздействия на защиту данных (Data Protection Impact Assessment, статья 35 GDPR).

ISO 27001 vs SOC 2 Type II — какой выбрать

Для украинского стартапа, работающего и с европейскими, и с американскими клиентами, типичный вопрос — какой режим выбрать. Кратко:

ISO/IEC 27001:2022:

  • Разработан ISO/IEC, признаётся глобально.
  • Process-oriented: подтверждает наличие ISMS и его постоянное улучшение.
  • Сертификат выдаётся аккредитованным органом по сертификации систем менеджмента (ISO/IEC 17021-1).
  • Срок действия сертификата — 3 года с ежегодным надзорным аудитом.
  • Доминирует в ЕС, признаётся в государственных закупках.

SOC 2 Type II:

  • Разработан AICPA (American Institute of Certified Public Accountants).
  • Audit-report oriented: предоставляет подробный отчёт о тестировании конкретных контролей в течение определённого периода (типично 6–12 месяцев).
  • Подписывается лицензированной CPA-фирмой (а не аккредитованным органом по сертификации).
  • Отчёт обновляется ежегодно.
  • Доминирует в США, особенно для SaaS-продуктов.

Многие команды комбинируют оба режима: ISO/IEC 27001 как фундамент ISMS + SOC 2 Type II как ориентированный на американских клиентов отчёт. Поскольку content требований существенно пересекается (control в Annex A ISO 27001 покрывают значительную часть Trust Service Criteria SOC 2), параллельная подготовка снижает совокупные затраты.

Цикл сертификации ISO/IEC 27001 для стартапа

Для команды до 50 человек цикл сертификации занимает 4–8 месяцев в зависимости от стартовой готовности:

  1. Подготовительная фаза (2–4 месяца). Определение области применения ISMS, оценка рисков, разработка политик и процедур, выбор control из Annex A, подготовка Statement of Applicability.
  2. Внедрение и операционная фаза (3 месяца минимум). Запуск ISMS в работу — проведение внутренних аудитов, тестирование процедур реагирования на инциденты, обучение персонала. Минимально требуемый срок стабильной работы ISMS до сертификационного аудита — 3 месяца.
  3. Аудит этапа 1. Аудитор проверяет полноту документации.
  4. Аудит этапа 2. Сертификационный аудит на месте.
  5. Решение о сертификации. Выдача сертификата сроком на 3 года.

Multicert и ISO/IEC 27001

Multicert является польской jednostką certyfikującą с аккредитацией PCA AC 210 в области сертификации продукции. Для сертификации систем менеджмента — ISO/IEC 27001:2022, ISO 9001:2015, ISO 14001:2015 — Multicert работает в рамках партнёрств с международными jednostkami certyfikującymi, имеющими действующую аккредитацию ISO/IEC 17021-1 с признанием IAF MLA.

Резюме

Для украинского IT-стартапа в Польше ISO/IEC 27001:2022 — типичное условие работы с крупным корпоративным клиентом в ЕС. Стандарт является эффективным инструментом демонстрации технических и организационных мер по статье 32 GDPR, но не заменяет GDPR-комплаенс. Версия 2022 года расширяет покрытие в области cloud security, secure coding, threat intelligence. Для рынка США часто требуется параллельная подготовка к SOC 2 Type II — пересечение control делает параллельную подготовку экономически целесообразной.

Связь: телефон +48 730 668 341, электронная почта [email protected]. Языки обслуживания: украинский, русский, польский, английский.

Najczęstsze pytania

Заменяет ли ISO/IEC 27001 необходимость GDPR-комплаенса? +
Нет. ISO/IEC 27001 — система менеджмента информационной безопасности, GDPR — регламент защиты персональных данных. Они частично пересекаются, но не заменяют друг друга. ISO 27001 эффективен для демонстрации compliance с обязательствами GDPR относительно технических мер (статья 32), но сам не означает соответствия GDPR.
Сколько стоит ISO/IEC 27001 для команды 20 человек? +
Стоимость определяется индивидуально. Структура: внутренняя подготовка (4–8 месяцев), сертификационный аудит (по IAF MD 5 — типично 5–8 дней для команды 20 человек), надзорные аудиты в течение 3-летнего цикла.
Чем версия 2022 отличается от 2013? +
Annex A был реструктурирован: 93 control в 4 темах (Organizational, People, Physical, Technological) вместо 114 control в 14 категориях. Введено 11 новых control: threat intelligence, cloud security, secure coding, data masking, data leakage prevention, monitoring activities и другие.
Признаётся ли украинский ISO 27001 в Польше? +
Зависит от аккредитации органа. НААУ — участник IAF MLA, поэтому сертификат украинского органа с аккредитацией НААУ ISO/IEC 17021-1 признаётся в Польше как эквивалент сертификата с аккредитацией PCA. Сертификат от неаккредитованного органа рыночной силы не имеет.

Autor artykułu

КM

Команда Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 6 maja 2026
Zadzwoń Bezpłatna wycena