Безплатна консултация

Процеси и методология на работа

Нашата доказана 4-фазова методология гарантира успешно внедряване на системи за управление — от задълбочена начална оценка до непрекъснат мониторинг и поддръжка. Всяка стъпка е прозрачна, измерима и ориентирана към реалните нужди на вашата организация.

4-фазов процес

Как работим с вас

Изберете фаза, за да научите повече за конкретните стъпки и резултатите от нея.

search

Фаза 1 — Първоначална оценка

Задълбочен анализ на организацията ви за определяне на точното изходно ниво и нужните действия

Месец 1 · ~3–4 седмици
assessment

Gap анализ

Сравнение на текущите практики с изискванията на целевия стандарт. Идентифицираме всички пропуски с точна приоритизация по критичност и бизнес влияние.

manage_search

Оценка на риска

Систематично идентифициране, анализ и оценка на информационните активи и свързаните заплахи. Използваме методологии ISO 27005 и FAIR за количествена оценка.

domain_verification

Дефиниране на обхват

Прецизно определяне на обхвата на системата за управление — организационни единици, процеси, локации и технологии, покрити от стандарта.

Deliverables от тази фаза

  • Доклад от Gap анализ
  • Регистър на рисковете (Risk Register)
  • Документ за обхват на ISMS/QMS
  • Оценка на зрялостта (Maturity Assessment)
  • Предварителна оценка на ресурсите
  • Executive Summary за ръководството
architecture

Фаза 2 — Планиране и дизайн

Разработване на цялостната архитектура на системата и детайлен план за внедряване

Месец 2 · ~3–4 седмици
description

Политики и процедури

Разработване на пълен пакет документация — политики за сигурност, процедури, работни инструкции и форми, съобразени с конкретния стандарт и бизнес контекст.

table_chart

RACI матрица и KPI

Дефиниране на отговорностите по RACI (Responsible, Accountable, Consulted, Informed) и ключови показатели за измерване на ефективността на системата.

event_note

Проектен план

Детайлен проектен план с реалистичен времеви график, milestones, ресурсен план и бюджет. Включва управление на зависимостите и рисковете по проекта.

Deliverables от тази фаза

  • Политика за информационна сигурност
  • Пакет от процедури и инструкции
  • RACI матрица с отговорности
  • Детайлен проектен план (Gantt)
  • План за обучение на персонала
  • SoA (Statement of Applicability)
build

Фаза 3 — Внедряване

Практическо изграждане на системата, обучение на екипите и подготовка за сертификация

Месец 3–5 · ~8–10 седмици
integration_instructions

Интеграция в процесите

Вграждане на контролите и процедурите в ежедневните бизнес процеси. Конфигуриране на технически мерки — SIEM, DLP, PAM, IAM — и интеграция с GRC платформи.

school

Обучение и awareness

Провеждане на специализирани обучения за ключови роли и общо Security Awareness обучение за целия персонал. Симулации на фишинг и социално инженерство.

fact_check

Вътрешен одит

Провеждане на вътрешен одит за проверка на ефективността на внедрените контроли. Идентифициране на несъответствия и коригиращи действия преди сертификационния одит.

Deliverables от тази фаза

  • Конфигурирани технически контроли
  • Проведени обучения (с присъствени листи)
  • Доклад от вътрешен одит
  • Регистър на несъответствията (NCR)
  • Доклад от Management Review
  • Готовност за сертификационен одит
monitor_heart

Фаза 4 — Мониторинг и поддръжка

Непрекъснато подобряване на системата и поддържане на сертификационния статус

Ongoing · Годишен цикъл
monitor

Непрекъснат мониторинг

24/7 мониторинг на сигурността чрез SIEM платформа, автоматизирани оценки на уязвимостите и редовни penetration тестове за проактивно управление на заплахите.

warning_amber

Управление на инциденти

Структуриран процес за управление на инциденти по ISO 27035 — от детекция и триаж до анализ на основната причина, remediation и lessons learned.

verified

Ресертификация и подобрение

Подготовка и поддържане на надзорните и ресертификационни одити. Прилагане на PDCA цикъла за непрекъснато подобряване на системата спрямо новите заплахи.

Deliverables от тази фаза

  • Месечни доклади за сигурност
  • Доклади от надзорни одити
  • Актуализиран Risk Register
  • Vulnerability Assessment доклади
  • Incident Response Reports
  • Годишен Management Review
Основи

Нашата методология

Работим по утвърдени международни стандарти и рамки, интегрирани в единен подход за управление на риска и съответствие.

autorenew

PDCA цикъл

Всички наши процеси се базират на Plan-Do-Check-Act цикъла, залегнал в основата на всички ISO стандарти от серията Annex SL. Гарантира непрекъснато подобрение.

ISO High Level Structure
balance

Risk-based thinking

Всяко решение е обвързано с оценка на риска. Използваме ISO 31000 и FAIR методологията за количествена оценка, позволяваща бизнес-обосновани приоритети.

ISO 31000 · FAIR
layers

Defense in Depth

Многопластова защита, която не разчита на единична контрола. Комбинираме превантивни, детективни и коригиращи мерки на технологично, процесно и човешко ниво.

NIST CSF · ISO 27001
verified_user

Zero Trust принципи

Прилагаме "never trust, always verify" архитектура съгласно NIST SP 800-207. Минимален привилегирован достъп, microsegmentation и непрекъснато валидиране.

NIST SP 800-207 · ZTNA
people

Human-centric Security

Технологиите са толкова ефективни, колкото и хората, които ги използват. Инвестираме в Security Culture чрез обучения, симулации и behavioral analytics.

SANS · CIS Controls
gavel

Compliance by Design

Интегрираме регулаторните изисквания от самото начало на проектирането — GDPR, NIS2, DORA, FinCEN — вместо да ги добавяме като afterthought.

GDPR · NIS2 · DORA
Времева линия

Типичен проект — от старт до сертификат

Прозрачен поглед върху реалистичния времеви хоризонт за внедряване на ISO 27001 в средна организация.

W1

Kick-off и обхват

Встъпителна среща с ръководството, дефиниране на обхвата и екипа на проекта. Подписване на NDA и установяване на комуникационния протокол.

Седмица 1
W2

Gap анализ и оценка на риска

Задълбочен Gap анализ спрямо ISO 27001:2022. Идентификация и оценка на информационните активи и заплахите. Доклад с приоритизирани препоръки.

Седмици 2–4
M2

Документация и политики

Разработване на цялостната документационна база — политика за ИС, SoA, процедури, инструкции. Одобрение от ръководството и публикуване.

Месец 2
M3

Внедряване на контроли и обучения

Техническо внедряване на контролите, конфигуриране на инструментите. Провеждане на обучения за всички нива — от IT до C-suite.

Месеци 3–4
M5

Вътрешен одит и Management Review

Вътрешен одит по ISO 19011. Идентификация и отстраняване на несъответствия. Преглед от ръководството и финализиране на ISMS преди сертификация.

Месец 5
M6

Сертификационен одит и сертификат

Stage 1 (документационен преглед) и Stage 2 (оперативен одит) от акредитиран орган. При успех — получаване на ISO сертификат с 3-годишна валидност.

Месец 6

* Конкретните срокове зависят от размера на организацията, сложността и наличието на вътрешни ресурси.

Предимства

Защо нашият процес работи

Доказани резултати, базирани на над 20 години опит и 200+ успешно завършени проекта.

speed

Бързо внедряване

Оптимизираните ни процеси намаляват времето за сертификация с до 40% спрямо стандартните подходи в индустрията. ISO 27001 — за 6 месеца.

price_check

Фиксирана цена

Без скрити разходи — работим с фиксирана договорена цена и ясен обхват. Всяко изменение в обхвата се договаря прозрачно с вас предварително.

groups

Трансфер на знания

Не просто внедряваме системи — изграждаме вътрешен капацитет. Обучаваме ваши специалисти, за да поддържат и подобряват системата самостоятелно.

support_agent

Дългосрочна подкрепа

Отношенията ни не приключват с получаването на сертификата. Предоставяме 24/7 поддръжка и непрекъснат мониторинг за целия 3-годишен цикъл.

emoji_events

98% успеваемост

Нашите клиенти преминават успешно сертификационния одит от първи опит в 98% от случаите — резултат от задълбочената ни предварителна подготовка.

business_center

Бизнес-ориентиран подход

Не внедряваме стандарти заради стандартите — фокусираме се върху реалната бизнес стойност: намалени рискове, спестени разходи и нови бизнес възможности.

Готови да стартирате вашия проект?

Свържете се с нас за безплатна консултация. Ще анализираме текущото ви ниво и ще предложим персонализиран план за действие.