Процеси и методология на работа
Нашата доказана 4-фазова методология гарантира успешно внедряване на системи за управление — от задълбочена начална оценка до непрекъснат мониторинг и поддръжка. Всяка стъпка е прозрачна, измерима и ориентирана към реалните нужди на вашата организация.
Как работим с вас
Изберете фаза, за да научите повече за конкретните стъпки и резултатите от нея.
Фаза 1 — Първоначална оценка
Задълбочен анализ на организацията ви за определяне на точното изходно ниво и нужните действия
Месец 1 · ~3–4 седмициGap анализ
Сравнение на текущите практики с изискванията на целевия стандарт. Идентифицираме всички пропуски с точна приоритизация по критичност и бизнес влияние.
Оценка на риска
Систематично идентифициране, анализ и оценка на информационните активи и свързаните заплахи. Използваме методологии ISO 27005 и FAIR за количествена оценка.
Дефиниране на обхват
Прецизно определяне на обхвата на системата за управление — организационни единици, процеси, локации и технологии, покрити от стандарта.
Deliverables от тази фаза
- Доклад от Gap анализ
- Регистър на рисковете (Risk Register)
- Документ за обхват на ISMS/QMS
- Оценка на зрялостта (Maturity Assessment)
- Предварителна оценка на ресурсите
- Executive Summary за ръководството
Фаза 2 — Планиране и дизайн
Разработване на цялостната архитектура на системата и детайлен план за внедряване
Месец 2 · ~3–4 седмициПолитики и процедури
Разработване на пълен пакет документация — политики за сигурност, процедури, работни инструкции и форми, съобразени с конкретния стандарт и бизнес контекст.
RACI матрица и KPI
Дефиниране на отговорностите по RACI (Responsible, Accountable, Consulted, Informed) и ключови показатели за измерване на ефективността на системата.
Проектен план
Детайлен проектен план с реалистичен времеви график, milestones, ресурсен план и бюджет. Включва управление на зависимостите и рисковете по проекта.
Deliverables от тази фаза
- Политика за информационна сигурност
- Пакет от процедури и инструкции
- RACI матрица с отговорности
- Детайлен проектен план (Gantt)
- План за обучение на персонала
- SoA (Statement of Applicability)
Фаза 3 — Внедряване
Практическо изграждане на системата, обучение на екипите и подготовка за сертификация
Месец 3–5 · ~8–10 седмициИнтеграция в процесите
Вграждане на контролите и процедурите в ежедневните бизнес процеси. Конфигуриране на технически мерки — SIEM, DLP, PAM, IAM — и интеграция с GRC платформи.
Обучение и awareness
Провеждане на специализирани обучения за ключови роли и общо Security Awareness обучение за целия персонал. Симулации на фишинг и социално инженерство.
Вътрешен одит
Провеждане на вътрешен одит за проверка на ефективността на внедрените контроли. Идентифициране на несъответствия и коригиращи действия преди сертификационния одит.
Deliverables от тази фаза
- Конфигурирани технически контроли
- Проведени обучения (с присъствени листи)
- Доклад от вътрешен одит
- Регистър на несъответствията (NCR)
- Доклад от Management Review
- Готовност за сертификационен одит
Фаза 4 — Мониторинг и поддръжка
Непрекъснато подобряване на системата и поддържане на сертификационния статус
Ongoing · Годишен цикълНепрекъснат мониторинг
24/7 мониторинг на сигурността чрез SIEM платформа, автоматизирани оценки на уязвимостите и редовни penetration тестове за проактивно управление на заплахите.
Управление на инциденти
Структуриран процес за управление на инциденти по ISO 27035 — от детекция и триаж до анализ на основната причина, remediation и lessons learned.
Ресертификация и подобрение
Подготовка и поддържане на надзорните и ресертификационни одити. Прилагане на PDCA цикъла за непрекъснато подобряване на системата спрямо новите заплахи.
Deliverables от тази фаза
- Месечни доклади за сигурност
- Доклади от надзорни одити
- Актуализиран Risk Register
- Vulnerability Assessment доклади
- Incident Response Reports
- Годишен Management Review
Нашата методология
Работим по утвърдени международни стандарти и рамки, интегрирани в единен подход за управление на риска и съответствие.
PDCA цикъл
Всички наши процеси се базират на Plan-Do-Check-Act цикъла, залегнал в основата на всички ISO стандарти от серията Annex SL. Гарантира непрекъснато подобрение.
ISO High Level StructureRisk-based thinking
Всяко решение е обвързано с оценка на риска. Използваме ISO 31000 и FAIR методологията за количествена оценка, позволяваща бизнес-обосновани приоритети.
ISO 31000 · FAIRDefense in Depth
Многопластова защита, която не разчита на единична контрола. Комбинираме превантивни, детективни и коригиращи мерки на технологично, процесно и човешко ниво.
NIST CSF · ISO 27001Zero Trust принципи
Прилагаме "never trust, always verify" архитектура съгласно NIST SP 800-207. Минимален привилегирован достъп, microsegmentation и непрекъснато валидиране.
NIST SP 800-207 · ZTNAHuman-centric Security
Технологиите са толкова ефективни, колкото и хората, които ги използват. Инвестираме в Security Culture чрез обучения, симулации и behavioral analytics.
SANS · CIS ControlsCompliance by Design
Интегрираме регулаторните изисквания от самото начало на проектирането — GDPR, NIS2, DORA, FinCEN — вместо да ги добавяме като afterthought.
GDPR · NIS2 · DORAТипичен проект — от старт до сертификат
Прозрачен поглед върху реалистичния времеви хоризонт за внедряване на ISO 27001 в средна организация.
Kick-off и обхват
Встъпителна среща с ръководството, дефиниране на обхвата и екипа на проекта. Подписване на NDA и установяване на комуникационния протокол.
Седмица 1Gap анализ и оценка на риска
Задълбочен Gap анализ спрямо ISO 27001:2022. Идентификация и оценка на информационните активи и заплахите. Доклад с приоритизирани препоръки.
Седмици 2–4Документация и политики
Разработване на цялостната документационна база — политика за ИС, SoA, процедури, инструкции. Одобрение от ръководството и публикуване.
Месец 2Внедряване на контроли и обучения
Техническо внедряване на контролите, конфигуриране на инструментите. Провеждане на обучения за всички нива — от IT до C-suite.
Месеци 3–4Вътрешен одит и Management Review
Вътрешен одит по ISO 19011. Идентификация и отстраняване на несъответствия. Преглед от ръководството и финализиране на ISMS преди сертификация.
Месец 5Сертификационен одит и сертификат
Stage 1 (документационен преглед) и Stage 2 (оперативен одит) от акредитиран орган. При успех — получаване на ISO сертификат с 3-годишна валидност.
Месец 6* Конкретните срокове зависят от размера на организацията, сложността и наличието на вътрешни ресурси.
Защо нашият процес работи
Доказани резултати, базирани на над 20 години опит и 200+ успешно завършени проекта.
Бързо внедряване
Оптимизираните ни процеси намаляват времето за сертификация с до 40% спрямо стандартните подходи в индустрията. ISO 27001 — за 6 месеца.
Фиксирана цена
Без скрити разходи — работим с фиксирана договорена цена и ясен обхват. Всяко изменение в обхвата се договаря прозрачно с вас предварително.
Трансфер на знания
Не просто внедряваме системи — изграждаме вътрешен капацитет. Обучаваме ваши специалисти, за да поддържат и подобряват системата самостоятелно.
Дългосрочна подкрепа
Отношенията ни не приключват с получаването на сертификата. Предоставяме 24/7 поддръжка и непрекъснат мониторинг за целия 3-годишен цикъл.
98% успеваемост
Нашите клиенти преминават успешно сертификационния одит от първи опит в 98% от случаите — резултат от задълбочената ни предварителна подготовка.
Бизнес-ориентиран подход
Не внедряваме стандарти заради стандартите — фокусираме се върху реалната бизнес стойност: намалени рискове, спестени разходи и нови бизнес възможности.