ISO 27001 и внешние партнёры по автоматизации: на что среднему бизнесу следует обратить внимание при выборе

ISO 27001 как критерий выбора партнёра по автоматизации: что сертификат действительно подтверждает и что вместо этого следует проверять среднему бизнесу.

Рисунок от руки: рука держит лупу над документом с круглой сертификационной печатью

Компания, поручающая внешнему партнёру автоматизацию обработки входящих счетов, CRM или управления кандидатами, неизбежно предоставляет ему доступ к чувствительным данным: клиентским базам данных, финансовым показателям, а порой и личным делам сотрудников. Поэтому вопрос «сертифицирован ли поставщик по ISO 27001» всё чаще встречается в тендерах и на первых встречах. Однако многие представители среднего бизнеса точно не знают, что подтверждает сертификат, а что нет. Эта статья разбирается в том, на что действительно стоит обращать внимание при выборе партнёра по автоматизации.

Что вообще подтверждает сертификат ISO 27001

ISO/IEC 27001:2022 устанавливает требования к системе менеджмента информационной безопасности (СМИБ) и, таким образом, является не знаком качества для отдельного инструмента, а подтверждением систематических, регулярно проверяемых процессов во всей компании. Приложение A стандарта содержит 93 меры контроля в четырёх категориях: 37 организационных мер, 8 мер, связанных с персоналом, 14 физических мер и 34 технологические меры, как показывает экспертный анализ secjur по актуальной версии стандарта. В предыдущей версии 2013 года было ещё 114 мер контроля; сокращение до 93 сопровождалось более чёткой структурой и одиннадцатью новыми мерами, например в области облачной безопасности и мониторинга активности.

Существует два пути получения сертификата: нативный, по ISO/IEC 27001:2022, со свободным выбором методологии, или на основе IT-Grundschutz по методике Федерального ведомства по информационной безопасности Германии (BSI, стандарты с 200-1 по 200-4). Оба пути ведут, согласно BSI к международно признанному сертификату ISO 27001, путь через Grundschutz публично задокументирован в схеме сертификации BSI, и выданные сертификаты можно там же посмотреть. Для выбора партнёра это важно, поскольку оба пути считаются равноценными, но проверяются с разной степенью детализации.

Почему безопасность партнёра по автоматизации напрямую влияет на ваш собственный риск

Общий ущерб от кражи данных, шпионажа и саботажа в немецкой экономике в 2025 году составил 289,2 млрд евро, из которых, согласно Bitkom-Studie Wirtschaftsschutz 2025 202,4 млрд евро (70 процентов) пришлось на кибератаки. 34 процента опрошенных компаний пострадали от программ-вымогателей, что почти втрое больше, чем в 2022 году. RPA-боту, workflow на n8n или агенту Copilot нужны учётные данные и доступ через API к ERP, CRM или DATEV, чтобы вообще иметь возможность автоматизировать процессы. Если сам партнёр по автоматизации будет скомпрометирован, это станет прямым путём в системы клиента. Поэтому информационная безопасность партнёра является не формальной второстепенной деталью, а подлинным расширением собственной поверхности атаки.

Что конкретно следует проверить, если поставщик заявляет о наличии сертификата ISO 27001

Один лишь предъявленный сертификат мало что говорит, если не проверены его действительность и область действия (Scope). Стоит конкретно обратить внимание на четыре пункта:

  • Область действия: действительно ли сертификат распространяется на отдел или локацию, которые занимаются вашим проектом автоматизации, или только на дочернюю компанию?
  • Путь сертификации: нативный или через BSI IT-Grundschutz, оба варианта действительны, при этом путь через Grundschutz позволяет проверить сертификат в публичной базе данных сертификатов BSI.
  • Цикл ресертификации: сертификация по BSI-Grundschutz действительна три года, в промежутке проводятся ежегодные надзорные аудиты, поэтому стоит уточнить дату последнего аудита.
  • Выдающий орган: был ли сертификат выдан аккредитованным независимым органом по сертификации, а не по результатам внутренней проверки?

Важно для реалистичных ожиданий: по состоянию на конец 2022 года в Германии сертификат ISO 27001 имели лишь около 1582 компаний, как данные Statista показывают, при общей численности компаний около 3,1 миллиона в целом. Отсутствие сертификата само по себе не является автоматическим критерием исключения компетентного партнёра по автоматизации, однако оно смещает бремя доказывания на другие, столь же проверяемые подтверждения.

Если партнёр не сертифицирован: какие доказательства имеют значение вместо этого

Без сертификата ISO 27001 корректный договор на обработку данных согласно ст. 28 GDPR и документированные технические и организационные меры (ТОМ) являются минимумом, который должен быть в состоянии предоставить каждый серьёзный партнёр по автоматизации. Договор на обработку данных в любом случае обязателен, как только начинается обработка персональных данных, независимо от какой-либо сертификации. Дополнительно стоит уточнить местоположение серверов (Германия или ЕС), концепции доступа для отдельных автоматизаций, а также были ли в прошлом задокументированы и заявлены инциденты.

NordFlux также выступает перед клиентами не с собственным сертификатом ISO 27001, а с договором на обработку данных для каждого клиента, документированными ТОМ и хранением данных в немецких либо европейских дата-центрах. Именно эта прозрачность, а не только сертификат, является тем критерием, который мы рекомендуем среднему бизнесу использовать при выборе любого партнёра по автоматизации. Поэтому эти вопросы должны звучать на каждой консультации по ИИ перед первым проектом, ведь в конечном итоге именно интеграцию интерфейсов они затрагивают, через которую проходят чувствительные данные.

Автор: Simon Glowik, опубликовано 9 июля 2026 года.

Часто задаваемые вопросы

Является ли ISO 27001 обязательным по закону требованием для партнёра по автоматизации?

Для большинства отраслей нет. Только в регулируемых сферах, таких как объекты критической инфраструктуры (KRITIS) или отдельные сегменты финансового сектора, сертификация может фактически являться обязательным условием. Для среднего бизнеса ISO 27001 сегодня скорее является всё более распространённым требованием заказчиков, чем законодательной обязанностью.

Что означает «ISO 27001 на основе IT-Grundschutz»?

Это альтернативный путь сертификации по методике BSI вместо свободного выбора методологии. Аудитор, допущенный BSI, проверяет справочные документы и проводит проверку на месте, после чего BSI принимает решение о выдаче сертификата ISO 27001.

Как долго действителен сертификат ISO 27001?

Сертификация на основе IT-Grundschutz действительна три года, после чего требуется ресертификация. В промежутке проводятся ежегодные надзорные аудиты. Поэтому стоит спрашивать не только о самом сертификате, но и о дате последнего аудита.

Достаточно ли самодекларации без сертификата в качестве подтверждения?

Одной лишь формальной самодекларации без содержательного наполнения недостаточно. Надёжный договор на обработку данных согласно ст. 28 GDPR и документированные технические и организационные меры являются тем минимумом, который должен быть в состоянии предоставить любой партнёр по автоматизации, независимо от наличия сертификации ISO.

Как проверить, является ли предъявленный сертификат ISO 27001 подлинным?

Для сертификатов на основе IT-Grundschutz факт выдачи можно проверить в публичном списке сертификатов BSI. Для нативных сертификатов ISO 27001 поможет проверка аккредитации выдавшего органа по сертификации, например в Немецком органе по аккредитации (DAkkS), либо прямой запрос в этот орган.

О NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux создаёт цифровых сотрудников для организаций: автоматизации и КИ-агентов, которые берут на себя повторяющуюся работу. Вы сохраняете контроль.

Больше о нас
Бесплатный первичный анализ

Конкретные вопросы по автоматизации или КИ?

В рамках бесплатного первичного анализа мы напрямую обсудим Ваш случай. Без обязательств.