Стандарты ГОСТ Р ИСО. Как мы прошли сертификацию по национальным стандартам 9001 и 27001

28
August
2024

Опубликовано на vc.ru

Ксения Филиппова

руководитель отдела организационного развития


В 2024 году компания arcsinus прошла сертификацию по стандартам ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021. О том, что это необходимо, мы задумались больше двух лет назад — когда о наличии сертификатов нас спросили клиенты. Активная фаза подготовки к сертификации началась в прошлом, 2023 году — и вот теперь сертификаты в рамке украшают стену нашего московского офиса.

В материале расскажем, зачем нужна сертификация по этим стандартам, что входит в процесс и как выбрать орган сертификации. А ещё — чем российский ГОСТ Р ИСО отличается от международного ISO.

Внимание: в статье много сухих казённых формулировок. Они взяты из самих стандартов и нужны, чтобы сохранить нейтральность. Читайте с осторожностью, если у вас аллергия на канцелярит 🙂

Что такое стандарты ГОСТ Р ИСО 9001 2015 и ГОСТ Р ИСО/МЭК 27001 2021

ГОСТ Р ИСО 9001-2015 «Системы менеджмента качества. Требования» — российский национальный стандарт, аналогичный международному стандарту ISO 9001:2015.

Он устанавливает требования к системе менеджмента качества (СМК), внедрение которых позволяет компании предоставлять продукцию и услуги, соответствующие требованиям потребителей, а также законодательным и нормативным правовым актам.

Вот что требует от компании ГОСТ Р ИСО 9001-2015:

  • Ориентация на потребителя — понимание текущих и будущих потребностей клиентов, выполнение их требований и стремление превзойти ожидания.
  • Лидерство руководства — создание единства цели и направления деятельности организации, вовлечение персонала в достижение целей СМК.
  • Вовлечение персонала — создание условий для полноценного участия сотрудников в улучшении деятельности компании.
  • Процессный подход — управление взаимосвязанными процессами как системой для повышения результативности и эффективности организации.
  • Улучшение — постоянное совершенствование деятельности компании в целом.
  • Принятие решений, основанных на данных — анализ информации для принятия информированных решений.
  • Менеджмент взаимоотношений — управление отношениями с заинтересованными сторонами для обеспечения устойчивого успеха.

ГОСТ Р ИСО/МЭК 27001-2021 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» — российский национальный стандарт, «наш ответ» международному стандарту ISO/IEC 27001:2013. Он устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержанию и улучшению документированной системы менеджмента информационной безопасности (СМИБ) в контексте рисков организации.

Основные принципы стандарта ГОСТ Р ИСО/МЭК 27001-2021:

  • Оценка и обработка рисков информационной безопасности.
  • Выбор и внедрение средств снижения рисков до приемлемого уровня.
  • Постоянный мониторинг и анализ эффективности СМИБ.
  • Непрерывное улучшение СМИБ.
  • Вовлечение высшего руководства и персонала в обеспечение ИБ.
  • Соответствие законодательным, нормативным и договорным требованиям.

Из этих формальных определений делаем вывод: внедрение системы менеджмента качества (СМК) по ГОСТ Р ИСО 9001-2015 и системы менеджмента информационной безопасности (СМИБ) по ГОСТ Р ИСО/МЭК 27001-2021 позволяет компании системно управлять качеством продукции/услуг и информационной безопасностью. Это, в свою очередь, повышает удовлетворённость потребителей и других заинтересованных участников процесса. Так и происходит, если стандарты внедряются не формально, только чтобы пройти сертификацию, а «по-взрослому».

Для чего нужна сертификация по стандартам 9001-2015 и 27001-2021

Сертификация по стандартам 9001 и 27001 — важный шаг для компании, стремящейся к повышению качества продукции и услуг, а также уровня информационной безопасности. Сертификация по этим стандартам действительно может открыть перед компанией новые возможности:

Повышение доверия клиентов и партнёров

Сертификация — маркер надёжности и профессионализма компании. Наличие сертификатов 9001 и 27001 подтверждает, что организация соблюдает высокие стандарты качества и безопасности. Это, в свою очередь, укрепляет доверие клиентов и партнёров. В конечном счёте это помогает расширять клиентскую базу и увеличивать объём продаж. Разумеется, одних только сертификатов для этого недостаточно — ещё нужно круто работать. Но сегодня не об этом 🙂

Улучшение бизнес-процессов и эффективности работы

На собственном опыте узнали: внедрение систем менеджмента в соответствии с ГОСТ Р ИСО помогает оптимизировать бизнес-процессы. Дело в том, что стандарты требуют от компании своего рода рефлексии — анализа и документирования процессов. Когда вы начинаете «препарировать» тот или иной флоу, проявляются большинство узких мест и неэффективных операций. Устранив их, можно заметно повысить производительность и снизить затраты.

Рост конкурентоспособности и инвестиционной привлекательности

Говоря на языке маркетологов, сертификация по стандартам ГОСТ Р ИСО помогает отстроиться от конкурентов. Те, кто участвует в тендерах или имеет опыт работы с крупными компаниями, знают, что наличие сертификатов может стать решающим фактором в выборе подрядчика/партнёра. Это особенно актуально в отраслях с высокой конкуренцией. Кроме того, сертифицированные компании часто воспринимаются как более надёжные и стабильные, что повышает их привлекательность для инвесторов.

Участие в тендерах и госзакупках

Многие организации (в частности, государственные и аффилированные с ним, но не только) требуют наличие сертификатов ISO от своих подрядчиков и поставщиков. Так они отвечают на необходимость соблюдения высоких стандартов качества и безопасности. Сертификация открывает двери для участия в тендерах и госзакупках — а это может дать буст продаж, расширить рынок и на годы обеспечить компанию источником постоянного дохода.

Чем российские стандарты ГОСТ Р ИСО отличаются от международных ISO

ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021 — российские национальные стандарты, соответствующие международным ISO 9001:2015 и ISO/IEC 27001:2013. Это означает, что российские версии полностью соответствуют требованиям международных аналогов, но при этом адаптированы под особенности российского законодательства и деловой практики.

Основные отличия ГОСТ Р ИСО от ISO:

1. Язык стандартов. ГОСТ Р ИСО выходят на русском языке, а ISO — на английском. При этом сами сертификаты ГОСТ Р ИСО по завершению процедуры выдаются и на русском, и на английском.

2. Нормативные ссылки. В ГОСТ Р ИСО содержатся ссылки на российские нормативные документы. Стандарты ISO ссылаются на международные и региональные требования.

3. Терминология. Некоторые термины и определения в ГОСТ Р ИСО могут отличаться от используемых в ISO, чтобы соответствовать российской практике.

4. Структура стандартов. Российские версии ГОСТ Р ИСО могут иметь небольшие отличия в структуре и нумерации разделов по сравнению с ISO.

Несмотря на эти различия, ГОСТ Р ИСО 9001 и ГОСТ Р ИСО/МЭК 27001 эквивалентны международным стандартам. Российские версии ГОСТ Р ИСО стали особенно актуальны в последние годы в связи с трендом на «импортозамещение». Многие российские компании, ранее сертифицированные по ISO, теперь переходят на ГОСТ Р ИСО, чтобы соответствовать текущей ситуации на внутреннем рынке.

При этом сертификаты могут быть, а могут не быть взаимозаменяемы. Всё зависит от тендера и компании, для которой необходим этот стандарт. ГОСТ Р ИСО — национальный стандарт, который принимается российскими компаниями на территории РФ. ISO — международный стандарт, который принимается в большинстве зарубежных стран, но не принимается в некоторых российских компаниях (особенно государственных и аффилированных с ним).

Если, например, в тендере обязательным условием значится наличие международного сертификата ISO, то наличие российского ГОСТ Р ИСО может не спасти. Словом, этот вопрос нужно обсуждать отдельно в каждом конкретном случае, готового ответа нет.

В этом году мы сертифицировались именно по национальным стандартам ГОСТ Р ИСО.

Как выбрать орган сертификации

Сертификацию на соответствие стандартам ГОСТ Р ИСО могут проводить только аккредитованные органы сертификации, внесенные в Единый реестр органов по сертификации и испытательных лабораторий (центров) Таможенного союза. Аккредитация подтверждает компетентность органа в проведении сертификации и признаётся на территории всего Евразийского экономического союза.

При выборе органа стоит обратить внимание на наличие действующей аккредитации на проведение сертификации именно по тем стандартам, по которым необходимо получить сертификаты. В нашем случае это ГОСТ Р ИСО 9001 и ГОСТ Р ИСО/МЭК 27001. В России оказалось всего 3 компании, аккредитованных на проведение сертификации по 27001, поэтому выбрать было не сложно.

Полезно знать, что на рынке существуют десятки, если не сотни компаний, которые сами не имеют никаких полномочий на проведение сертификации и работают исключительно как посредники между клиентами и реальными органами сертификации. При выборе компании стоит проверять на сайте Росаккредитации.

Ещё больше тех, кто будет рад продать вам бумажку без проведения аудита. По стоимости это доступно любому. Какую силу будет иметь такой документ и в какой момент потенциальный партнёр узнает истинную природу его происхождения — неизвестно.

Что нужно, чтобы начать и успешно закончить сертификацию

Нужно быть готовыми, что сертификация по стандартам ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021 потребует тщательной подготовки и системного подхода. От этого во многом зависит успешный результат. Ниже — основные этапы подготовки к сертификации.

1. Изучение требований стандартов

Первый шаг — детальное изучение требований стандартов 9001 и 27001. Это поможет понять, какие практики необходимо внедрить или изменить в компании.

2. Разработка необходимой документации — руководств, процедур, регламентов

На следующем этапе необходимо разработать и внедрить документацию, соответствующую требованиям стандартов:

  • Руководства и политики для ГОСТ Р ИСО 9001 и ГОСТ Р ИСО/МЭК 27001.
  • Описание процессов, процедур и инструкций, необходимых для работы системы менеджмента.
  • Записи, подтверждающие выполнение процессов и процедур — например, отчёты об аудитах, результаты мониторинга и анализа.

Правильно оформленная документация не только упрощает процесс сертификации, но и служит основой для дальнейшего управления качеством и безопасностью. Мы в arcsinus в процессе подготовки к сертификации разработали около 250 новых документов 💪 Список необходимых документов мы получили от эксперта, который помогал нам в подготовке. О нём — дальше в статье

3. Обучение персонала и внедрение СМК/СМИБ в деятельность компании

Важный элемент успешной сертификации — вовлечение сотрудников. Им придётся пройти обучение основам системы менеджмента качества и информационной безопасности, а также понять свою роль в этих системах.

Важно, чтобы сотрудники понимали, как их работа влияет на качество итогового продукта, а также на безопасность информации. СМК и СМИБ должны быть интегрированы в повседневную деятельность компании.

Тщательная подготовка к сертификации значительно увеличивает шансы на успешное прохождение аудита. Компании, которые заранее изучают требования стандартов, проводят внутренние аудиты, разрабатывают необходимую документацию и обучают персонал, как правило, проходят сертификацию с меньшими затратами времени и ресурсов.

4. Проведение внутреннего аудита

После этого нужно провести внутренние аудиты, чтобы выявить несоответствия и слабые места в СМК и СМИБ. Это возможность оценить готовность компании к сертификации и определить области, требующие улучшения. Мы провели 24 таких аудита по разным проектам, отделам и документам.

Можно ли подготовиться к сертификации самостоятельно

Вероятно. Так же, как можно выучить иностранный язык без преподавателя, научиться водить трактор без инструктора или защитить себя в суде без адвоката. Вопрос в количестве граблей, которые вы соберёте по пути — и соответственно, длительности этого пути. В этой сфере масса нюансов, и человек, который заведомо знает эти нюансы, сократит вам путь.

В процессе подготовки к сертификации мы воспользовались услугами экспертов. Они консультировали нас, подсказывали, какие документы обязательны или желательны к разработке, присылали примеры и шаблоны, ревьюили документацию после разработки. Такие эксперты есть в самих органах сертификации, но можно найти и вольных консультантов.

Как проходит процедура сертификации

Процедура сертификации по стандартам ГОСТ Р ИСО 9001-2015 и ГОСТ Р ИСО/МЭК 27001-2021 состоит из нескольких этапов. Каждый из них важен — проскочить не получится.

1. Подача заявки и документов в орган сертификации

Первый шаг в процессе сертификации — подача заявки в орган сертификации. В заявке необходимо указать информацию о компании, её структуре, а также о системе менеджмента, которую планируется сертифицировать.

После подачи заявки компании нужно предоставить ряд документов, подтверждающих соответствие требованиям стандартов. Это те самые внутренние регламенты, процедуры, записи о проведённых внутренних аудитах и другие документы, относящиеся к СМК и СМИБ.

2. Предварительный аудит

Некоторые органы сертификации предлагают предварительный аудит — это не обязательно, но может быть полезно. Этап позволяет выявить несоответствия и слабые места в системе менеджмента до основного аудита. Результаты предварительного аудита помогут компании подготовиться и провести работу над ошибками, что повысит шансы на успешное прохождение основной проверки.

Мы проходили первичный аудит от сертифицирующего органа. Он заключался лишь в том, чтобы удостовериться, что у нас есть все документы по списку и можно выходить на реальную сертификацию.

3. Основной аудит (проверка соответствия требованиям стандарта)

Основной аудит — это ключевой этап сертификации, на котором проверяется соответствие требованиям стандартов ГОСТ Р ИСО 9001 и ГОСТ Р ИСО/МЭК 27001. Аудиторы органа проводят анализ документации, наблюдают за процессами в компании и общаются с сотрудниками.

По итогам основного аудита они составляют отчёт, в котором фиксируются выявленные несоответствия и рекомендации по их устранению. Если все требования стандартов выполнены — так получилось у нас 😁 — компания получает положительное заключение.

4. Выдача сертификата (при успешном прохождении аудита)

После успешного прохождения основного аудита орган сертификации выдаёт сертификат, подтверждающий соответствие системы менеджмента требованиям стандартов. Сертификат имеет ограниченный срок действия и может быть продлён при условии успешного прохождения периодических аудитов.

Сертификат выдаётся на 3 года, но каждый год его нужно подтверждать. Процедура подтверждения — такой же аудит, как при первичной сертификации. Через 3 года происходит ресертификация. И это тот же процесс, что и во время первичной сертификации, только в результате выдают новые сертификаты.
No items found.