როგორ გააერთიანონ საქართველოს IT‑ და SaaS‑კომპანიებმა ISO 27001, ISO 27701 და GDPR
საქართველო აქტიურად ავითარებს IT-სექტორს და ციფრულ სერვისებს, ამიტომ IT‑ და SaaS‑კომპანიების მიმართ სულ უფრო ხშირად გამკაცრებულია მოთხოვნები ინფორმაციული უსაფრთხოების და კონფიდენციალურობის მხრივ — ევროკავშირის სტანდარტების დონეზე. ევროპელი კლიენტები და პარტნიორები ელოდებიან არა მხოლოდ სტაბილურ სერვისს, არამედ მონაცემების დაცვის გამჭვირვალე გარანტიებს საერთაშორისო სტანდარტებისა და GDPR‑ის შესაბამისად.
აქედან ჩნდება ტიპური კითხვა: საჭიროა თუ არა სამი ცალკე პროექტის განხორციელება — ISO 27001‑ის, ISO 27701‑ის და GDPR‑ის მიხედვით — თუ ყველაფერი შეიძლება გაერთიანდეს ერთ სამართავ სისტემაში? კარგი ამბავია ის, რომ გაერთიანება შესაძლებელია და უფრო მეტიც — მიზანშეწონილია. საქმე საერთოდ არ ეხება „სამმაგ სამუშაოს“, არამედ გონივრულ ინტეგრაციას.
ISO 27001, ISO 27701 და GDPR: ვის რა პასუხისმგებლობა აქვს
იმისათვის, რომ IT‑კომპანიამ სწორად ააწყოს ISO 27001 / GDPR‑თან შესაბამისობა, მნიშვნელოვანია ზუსტად ესმოდეს თითოეული ელემენტის როლი.
ISO 27001: ინფორმაციული უსაფრთხოების ფუნდამენტი
ISO 27001 არის ინფორმაციული უსაფრთხოების მენეჯმენტის სისტემის (ISMS) შექმნის სტანდარტი. IT‑ისა და SaaS‑ისთვის ეს ნიშნავს:
ISO 27701: დამატება პერსონალურ მონაცემებზე
ISO 27701 აფართოებს ISO 27001‑ს და ამატებს მოთხოვნებს პერსონალური მონაცემების დაცვაზე. ის ხელს უწყობს GDPR‑ის „იურიდიული ენის“ გადაყვანას პროცესებისა და კონტროლების ენაზე.
SaaS‑კომპანიებისთვის ეს განსაკუთრებით მნიშვნელოვანია მაშინ, როცა ერთდროულად ხართ როგორც მონაცემთა მმართველი, ასევე დამმუშავებელი (მაგალითად, ინახავთ მომხმარებელთა პროფილებს და ამავდროულად ამუშავებთ B2B‑კლიენტების მონაცემებს).
GDPR: თამაშის სავალდებულო წესები
GDPR არის ევროკავშირის კანონი, რომელიც ვრცელდება ყველა სერვისზე, რომელიც ამუშავებს ევროპის რეზიდენტთა პერსონალურ მონაცემებს — მათ შორის საქართველოს IT‑ და SaaS‑კომპანიებზე, რომლებიც ორიენტირებულები არიან ევროპულ ბაზარზე. ის განსაზღვრავს:
როგორ გავაერთიანოთ სტანდარტები და GDPR ერთ სისტემაში
წარმატების გასაღები ის არის, რომ არ გააკეთოთ სამი ცალკე „ქაღალდის“ პროექტი, არამედ ააწყოთ ერთიანი მართვის სისტემა. ეს განსაკუთრებით აქტუალურია, როცა საუბარია საქართველოს IT‑ბიზნესისთვის GDPR‑ზე, სადაც კომპანიები ხშირად მუშაობენ ევროკავშირის სხვადასხვა ქვეყნის კლიენტებთან, იყენებენ ღრუბლოვან ინფრასტრუქტურას და განაწილებულ გუნდებს.
ლოგიკა შეიძლება იყოს ასეთი:
პრაქტიკული ნაბიჯები: თეორიიდან დანერგვამდე
იმისათვის, რომ ISO 27001‑ისა და ISO 27701‑ის დანერგვა IT‑კომპანიაში უსასრულო პროექტად არ იქცეს, უმჯობესია იმოძრაოთ გასაგებ, ეტაპობრივ მარშრუტზე.
ნაბიჯი 1. განსაზღვრეთ სისტემის საზღვრები
SaaS‑კომპანიისთვის ეს, როგორც წესი, მოიცავს:
ნაბიჯი 2. მონაცემების და პროცესების რუკირება
შექმენით ბიზნეს‑პროცესების რუკა, სადაც გამოიყენება პერსონალური მონაცემები: რეგისტრაცია, ბილინგი, ტექნიკური მხარდაჭერა, ანალიტიკა, მარკეტინგი. ამ etapze:
ნაბიჯი 3. ISMS‑ის აშენება ISO 27001‑ის მიხედვით
სისტემებისა და რისკების რუკის საფუძველზე შენდება პროცესები:
ნაბიჯი 4. PIMS‑მდე გაფართოება ISO 27701‑ით
შემდეგ სისტემა ივსება პერსონალურ მონაცემებზე ორიენტირებული სპეციფიკური კონტროლებით:
ნაბიჯი 5. დამტკიცებადობის უზრუნველყოფა GDPR‑ისთვის
რეგულატორებისთვის და მსხვილი კლიენტებისთვის მნიშვნელოვანი არა მხოლოდ ის არის, რომ „თქვენთან ყველაფერი წესრიგშია“, არამედ ისიც, თუ როგორ ამტკიცებთ ამას. ამაში გეხმარებათ:
ტიპური შეცდომები IT‑ და SaaS‑კომპანიებში
მოთხოვნების კარგი გაგების შემთხვევაშიც კი, საქართველოს IT‑კომპანიები ხშირად ერთსა და იმავე „ნაფოტზე დგამენ ფეხს“. ქვემოთ — ყველაზე გავრცელებული მაგალითებია.
პროექტებს ყოფენ: „ჯერ გავაკეთოთ GDPR, ISO‑ს ოდესმე მერე მივხედავთ“. შედეგი — ორმაგი სამუშაო და ერთმანეთთან კონფლიქტში მყოფი დოკუმენტები.
წერენ პოლიტიკებს „შემოწმებისთვის“, რომლითაც რეალურად არავინ სარგებლობს. დეველოპერები და DevOps‑ჯგუფი თავის წესებით ცხოვრობს, დოკუმენტები — ცალკე საკუთარ ცხოვრებას ეწევიან.
იგნორირებულია ქვე-მოწოდებლების ჯაჭვი: ღრუბელი, ელფოსტასერვისები, ანალიტიკა, გადახდის პროვაიდერები. სწორედ მათით ხდება ინციდენტების დიდი ნაწილი.
გუნდი არ გადის ტრენინგს: უშეცდომო პროცესებიც კი ინგრევა ერთ ფიშინგ‑ბმულზე ან შემთხვევით push‑ზე საჯარო რეპოზიტორიაში.
ივიწყებენ კონფიდენციალურობის UX‑ს: რთული cookie‑ბანერები და გაურკვეველი ტექსტები თანხმობაზე კლავს კონვერსიას და ზრდის იურიდიულ რისკებს.
ამ შეცდომების თავიდან აცილება გაცილებით მარტივია, თუ სისტემას თავიდანვე „ცხოვრებისათვის“ აწყობთ და არა მხოლოდ ჩეკლისტის შესავსებად.
როგორ ეხმარება BALTUM BUREAU საქართველოს IT‑ბიზნესს სტანდარტებისა და GDPR‑ის შეჯერებაში
IT‑ ან SaaS‑პროექტის გუნდს ერთდროულად ფუნქციებზე, რელიზებზე და იურიდიულ რისკებზე ფიქრი ხშირად უჭირს. ისეთ ეტაპზე, როცა რესურსი შეზღუდულია, მოსახერხებელია პროფილური კონსულტანტების ჩართვა, რომლებმაც უკვე გაიარეს ISO‑ს დანერგვის გზა IT‑კომპანიებში და იციან, როგორ უნდა შეეთავსოს ეს ყველაფერი GDPR‑ს საქართველოში.
BALTUM BUREAU დაგეხმარებათ:
• ჩაატაროთ gap‑ანალიზი: სად იმყოფებით ახლა ISO 27001‑ის, ISO 27701‑ის და GDPR‑ის მოთხოვნებთან შედარებით;
• დააპროექტოთ ერთიანი სისტემა — დუბლირებული დოკუმენტების და ზედმეტი ბიუროკრატიის გარეშე;
• მოამზადოთ კომპანია ISO 27001 / ISO 27701‑ის სერტიფიკაციისთვის;
• დაალაგოთ პროცესები მომხმარებელთა მოთხოვნებთან, ინციდენტებთან და ქვე-მოწოდებლებთან მუშაობისთვის;
• გადაამზადოთ გუნდი — დეველოპერებიდან მენეჯმენტამდე.
თუ გსურთ, მოთხოვნებთან შესაბამისობა არ იქცეს თავსატეხად, არამედ გადაიქცეს კონკურენტულ უპირატესობად, აზრი აქვს თქვენი მდგომარეობა ექსპერტებთან განიხილოთ. გუნდთან დაკავშირება და დეტალების გაგება შეგიძლიათ BALTUM BUREAU‑ს ვებ‑გვერდზე განაცხადის დატოვებით.
აქედან ჩნდება ტიპური კითხვა: საჭიროა თუ არა სამი ცალკე პროექტის განხორციელება — ISO 27001‑ის, ISO 27701‑ის და GDPR‑ის მიხედვით — თუ ყველაფერი შეიძლება გაერთიანდეს ერთ სამართავ სისტემაში? კარგი ამბავია ის, რომ გაერთიანება შესაძლებელია და უფრო მეტიც — მიზანშეწონილია. საქმე საერთოდ არ ეხება „სამმაგ სამუშაოს“, არამედ გონივრულ ინტეგრაციას.
ISO 27001, ISO 27701 და GDPR: ვის რა პასუხისმგებლობა აქვს
იმისათვის, რომ IT‑კომპანიამ სწორად ააწყოს ISO 27001 / GDPR‑თან შესაბამისობა, მნიშვნელოვანია ზუსტად ესმოდეს თითოეული ელემენტის როლი.
ISO 27001: ინფორმაციული უსაფრთხოების ფუნდამენტი
ISO 27001 არის ინფორმაციული უსაფრთხოების მენეჯმენტის სისტემის (ISMS) შექმნის სტანდარტი. IT‑ისა და SaaS‑ისთვის ეს ნიშნავს:
- რискების მართვას (მონაცემების გაჟონვა, დაყოვნებები, შეტევები);
- მონაცემებსა და სისტემებზე წვდომის პოლიტიკას;
- ინციდენტების მართვას;
- მოთხოვნებს მომწოდებლებისა და ღრუბლოვანი პროვაიდერების მიმართ.
ISO 27701: დამატება პერსონალურ მონაცემებზე
ISO 27701 აფართოებს ISO 27001‑ს და ამატებს მოთხოვნებს პერსონალური მონაცემების დაცვაზე. ის ხელს უწყობს GDPR‑ის „იურიდიული ენის“ გადაყვანას პროცესებისა და კონტროლების ენაზე.
SaaS‑კომპანიებისთვის ეს განსაკუთრებით მნიშვნელოვანია მაშინ, როცა ერთდროულად ხართ როგორც მონაცემთა მმართველი, ასევე დამმუშავებელი (მაგალითად, ინახავთ მომხმარებელთა პროფილებს და ამავდროულად ამუშავებთ B2B‑კლიენტების მონაცემებს).
GDPR: თამაშის სავალდებულო წესები
GDPR არის ევროკავშირის კანონი, რომელიც ვრცელდება ყველა სერვისზე, რომელიც ამუშავებს ევროპის რეზიდენტთა პერსონალურ მონაცემებს — მათ შორის საქართველოს IT‑ და SaaS‑კომპანიებზე, რომლებიც ორიენტირებულები არიან ევროპულ ბაზარზე. ის განსაზღვრავს:
- მონაცემთა დამუშავების კანონიერ საფუძვლებს;
- თანხმობის მოთხოვნებს;
- მომხმარებელთა უფლებებს (წვდომა, წაშლა, შეზღუდვა);
- შეტყობინებებს დარღვევების შესახებ;
- ხელშეკრულებებს დამმუშავებლებთან.
როგორ გავაერთიანოთ სტანდარტები და GDPR ერთ სისტემაში
წარმატების გასაღები ის არის, რომ არ გააკეთოთ სამი ცალკე „ქაღალდის“ პროექტი, არამედ ააწყოთ ერთიანი მართვის სისტემა. ეს განსაკუთრებით აქტუალურია, როცა საუბარია საქართველოს IT‑ბიზნესისთვის GDPR‑ზე, სადაც კომპანიები ხშირად მუშაობენ ევროკავშირის სხვადასხვა ქვეყნის კლიენტებთან, იყენებენ ღრუბლოვან ინფრასტრუქტურას და განაწილებულ გუნდებს.
ლოგიკა შეიძლება იყოს ასეთი:
- ISO 27001 ადგენს ზოგად წესებს უსაფრთხოებისათვის;
- ISO 27701 ამატებს ფოკუსს პერსონალურ მონაცემებზე;
- GDPR ქმნის იურიდიულ ჩარჩოს, რომელზეც „აშენებთ“ პროცესებსა და კონტროლებს.
პრაქტიკული ნაბიჯები: თეორიიდან დანერგვამდე
იმისათვის, რომ ISO 27001‑ისა და ISO 27701‑ის დანერგვა IT‑კომპანიაში უსასრულო პროექტად არ იქცეს, უმჯობესია იმოძრაოთ გასაგებ, ეტაპობრივ მარშრუტზე.
ნაბიჯი 1. განსაზღვრეთ სისტემის საზღვრები
SaaS‑კომპანიისთვის ეს, როგორც წესი, მოიცავს:
- პროდაქშენ‑სერვერებს და ღრუბლებს;
- კოდების რეპოზიტორიებს;
- CI/CD‑პაიპლაინებს;
- ლოგირებისა და მონიტორინგის სისტემებს;
- კლიენტებისა და მომხმარებლების მონაცემებს.
ნაბიჯი 2. მონაცემების და პროცესების რუკირება
შექმენით ბიზნეს‑პროცესების რუკა, სადაც გამოიყენება პერსონალური მონაცემები: რეგისტრაცია, ბილინგი, ტექნიკური მხარდაჭერა, ანალიტიკა, მარკეტინგი. ამ etapze:
- იგეგმება მონაცემთა ტიპები (ჩვეულებრივი, სპეციალური კატეგორიები);
- ფიქსირდება დამუშავების მიზნები და სამართლებრივი საფუძვლები;
- აღწერილია მონაცემთა ნაკადები სისტემებსა და ქვე-მოწოდებლებს შორის.
ნაბიჯი 3. ISMS‑ის აშენება ISO 27001‑ის მიხედვით
სისტემებისა და რისკების რუკის საფუძველზე შენდება პროცესები:
- წვდომის მართვა;
- რეზერვული კოპირების და აღდგენის პროცედურები;
- თავდაუცველობების მართვა;
- ინციდენტებზე რეაგირება;
- მოთხოვნები თანამშრომლებისა და ქვე-მოწოდებლების მიმართ.
ნაბიჯი 4. PIMS‑მდე გაფართოება ISO 27701‑ით
შემდეგ სისტემა ივსება პერსონალურ მონაცემებზე ორიენტირებული სპეციფიკური კონტროლებით:
- მონაცემთა სუბიექტების მოთხოვნებზე რეაგირების პროცედურებით;
- თანხმობის მართვით;
- მონაცემთა მინიმიზაციით და შენახვის ვადების შეზღუდვით;
- მონაცემთა გადაცემის წესებით ევროკავშირის ფარგლებს გარეთ;
- ქვე-მოწოდებლების შემოწმებით კონფიდენციალურობის მოთხოვნებთან შესაბამისობაზე.
ნაბიჯი 5. დამტკიცებადობის უზრუნველყოფა GDPR‑ისთვის
რეგულატორებისთვის და მსხვილი კლიენტებისთვის მნიშვნელოვანი არა მხოლოდ ის არის, რომ „თქვენთან ყველაფერი წესრიგშია“, არამედ ისიც, თუ როგორ ამტკიცებთ ამას. ამაში გეხმარებათ:
- დამუშავების ოპერაციებისა და აქტივების რეესტრები;
- რისკების შეფასების ანგარიშები;
- შიდა აუდიტების შედეგები;
- დოკუმენტაცია ინციდენტებისა და მიღებული საპასუხო ზომების შესახებ.
ტიპური შეცდომები IT‑ და SaaS‑კომპანიებში
მოთხოვნების კარგი გაგების შემთხვევაშიც კი, საქართველოს IT‑კომპანიები ხშირად ერთსა და იმავე „ნაფოტზე დგამენ ფეხს“. ქვემოთ — ყველაზე გავრცელებული მაგალითებია.
პროექტებს ყოფენ: „ჯერ გავაკეთოთ GDPR, ISO‑ს ოდესმე მერე მივხედავთ“. შედეგი — ორმაგი სამუშაო და ერთმანეთთან კონფლიქტში მყოფი დოკუმენტები.
წერენ პოლიტიკებს „შემოწმებისთვის“, რომლითაც რეალურად არავინ სარგებლობს. დეველოპერები და DevOps‑ჯგუფი თავის წესებით ცხოვრობს, დოკუმენტები — ცალკე საკუთარ ცხოვრებას ეწევიან.
იგნორირებულია ქვე-მოწოდებლების ჯაჭვი: ღრუბელი, ელფოსტასერვისები, ანალიტიკა, გადახდის პროვაიდერები. სწორედ მათით ხდება ინციდენტების დიდი ნაწილი.
გუნდი არ გადის ტრენინგს: უშეცდომო პროცესებიც კი ინგრევა ერთ ფიშინგ‑ბმულზე ან შემთხვევით push‑ზე საჯარო რეპოზიტორიაში.
ივიწყებენ კონფიდენციალურობის UX‑ს: რთული cookie‑ბანერები და გაურკვეველი ტექსტები თანხმობაზე კლავს კონვერსიას და ზრდის იურიდიულ რისკებს.
ამ შეცდომების თავიდან აცილება გაცილებით მარტივია, თუ სისტემას თავიდანვე „ცხოვრებისათვის“ აწყობთ და არა მხოლოდ ჩეკლისტის შესავსებად.
როგორ ეხმარება BALTUM BUREAU საქართველოს IT‑ბიზნესს სტანდარტებისა და GDPR‑ის შეჯერებაში
IT‑ ან SaaS‑პროექტის გუნდს ერთდროულად ფუნქციებზე, რელიზებზე და იურიდიულ რისკებზე ფიქრი ხშირად უჭირს. ისეთ ეტაპზე, როცა რესურსი შეზღუდულია, მოსახერხებელია პროფილური კონსულტანტების ჩართვა, რომლებმაც უკვე გაიარეს ISO‑ს დანერგვის გზა IT‑კომპანიებში და იციან, როგორ უნდა შეეთავსოს ეს ყველაფერი GDPR‑ს საქართველოში.
BALTUM BUREAU დაგეხმარებათ:
• ჩაატაროთ gap‑ანალიზი: სად იმყოფებით ახლა ISO 27001‑ის, ISO 27701‑ის და GDPR‑ის მოთხოვნებთან შედარებით;
• დააპროექტოთ ერთიანი სისტემა — დუბლირებული დოკუმენტების და ზედმეტი ბიუროკრატიის გარეშე;
• მოამზადოთ კომპანია ISO 27001 / ISO 27701‑ის სერტიფიკაციისთვის;
• დაალაგოთ პროცესები მომხმარებელთა მოთხოვნებთან, ინციდენტებთან და ქვე-მოწოდებლებთან მუშაობისთვის;
• გადაამზადოთ გუნდი — დეველოპერებიდან მენეჯმენტამდე.
თუ გსურთ, მოთხოვნებთან შესაბამისობა არ იქცეს თავსატეხად, არამედ გადაიქცეს კონკურენტულ უპირატესობად, აზრი აქვს თქვენი მდგომარეობა ექსპერტებთან განიხილოთ. გუნდთან დაკავშირება და დეტალების გაგება შეგიძლიათ BALTUM BUREAU‑ს ვებ‑გვერდზე განაცხადის დატოვებით.
