Man and a woman with a laptop in a server room

ISO 27001 tanúsítás

Az Ön kérése


Információbiztonság egy rendszerrel

Az "információbiztonság" témája a digitális átalakulás során egyre sürgetőbbé válik a vállalatok számára. Megfelelő biztonsági óvintézkedések nélkül fennáll az adatvesztés és a hackerek általi adatlopás, a webes támadások vagy az adatokkal való visszaélés miatti üzleti összeomlás veszélye. A strukturált megközelítés egyik lehetősége az ISO 27001 szabvány szerinti információbiztonsági irányítási rendszer (ISMS).

Kimutatható adat- és információbiztonság

A biztonság a vállalati kultúra részeként

A kockázatkezelési folyamat hatékony végrehajtása

A biztonsági szint folyamatos javítása

Business10.png

Mi az ISO 27001?

Az ISO/IEC 27001 az információbiztonság holisztikus irányítási rendszerének megvalósítására vonatkozó vezető nemzetközi szabvány. Az információkezelési folyamatok kockázatainak azonosítására, értékelésére és kezelésére összpontosít. A bizalmas információk biztonságát jelentős stratégiai elemként hangsúlyozza.

Az információ mindenhol körülvesz minket, és minden folyamat része. Néha jelentéktelenek lehetnek, de túl gyakran kritikusak és bizalmasak. Ahhoz, hogy ezt a szervezet számára fontos megkülönböztetést meg lehessen tenni, szükséges az információk osztályozása. Az ISO/IEC 27001 szabvány szerinti információbiztonsági irányítási rendszer (ISMS) védelmi intézkedései ugyanis ezen a besoroláson alapulnak.

Az ISMS megteremti az operatív adatok és azok bizalmas jellegének védelmére szolgáló keretet. Ugyanakkor a világszerte elismert szabvány biztosítja a vállalati folyamatokban részt vevő IT-rendszerek rendelkezésre állását. Ebben az összefüggésben az ISO 27001 tanúsítás erős jelzést küld a piacnak: nevezetesen független külső értékelést és megerősítést az Ön ISMS hatékonyságáról.

Az EN ISO/IEC 27001:2017-06 szabványnak az Európai Szabványügyi Bizottság (CEN) által koordinált változata jelent meg. Ez egyesíti a Cor 1:2014 és a Cor 2:2015 két javítását (corrigenda). A korrekcióhoz kapcsolódó változások csak a kapcsolódó követelmények jobb leírását tartalmazzák, de új, kiegészítő követelményeket nem. Az ISO/IEC 27001:2013 változat szerinti tanúsítványok tehát érvényben maradnak.

Tovább
Kevesebb
SEO19.png

Kik számára alkalmas az ISO 27001 szerinti tanúsítás?

Az ISO 27001 ISMS-szabvány világszerte alkalmazandó. Minden méretű és iparágú vállalat számára keretrendszert biztosít az információbiztonság tervezéséhez, megvalósításához és ellenőrzéséhez. A követelmények alkalmazhatóak és vonatkoznak a magán- és állami vállalatokra, valamint a nonprofit szervezetekre.

Németországban például a kritikus infrastruktúra-ágazathoz (KRITIS) tartozó és egy küszöbértéket meghaladó vállalatoknak bizonyítaniuk kell, hogy miként gondoskodnak az információbiztonságukról. A KRITIS szektorok közé tartozik az energia, a víz, az egészségügy, a pénzügy és biztosítás, az élelmiszer, a szállítás és közlekedés, az információtechnológia és a távközlés. A végrehajtás megfelelő igazolása biztonsági auditokkal, tesztekkel vagy tanúsítványokkal történhet. E célból az auditálás alapjául az elismert szabványok, mint például az ISO 27001, vagy a Német Szövetségi Információbiztonsági Hivatal (BSI) által elismert ágazatspecifikus biztonsági szabványok szolgálhatnak.

Tovább
Kevesebb
Business11.png

Mitől hasznos az ISO 27001 szabvány a vállalatom számára?

Az ISO/IEC 27001 szabvány szerinti ISMS bevezetése stratégiai döntés az Ön vállalata számára. A szabvány szándékosan általános követelményeinek teljesítése a vállalat sajátos helyzetét kell, hogy tükrözze. A vállalatnál történő bevezetés az igényektől és céloktól, a biztonsági követelményektől és a szervezeti folyamatoktól, valamint a vállalat méretétől és struktúrájától függ.

Különösen értékes a gyakorlat számára a szabvány A. mellékletében szereplő intézkedések végrehajtása. Az ISO-szabvány az irányítási rendszerre vonatkozó követelményeket tartalmazó részen (4-10. fejezetek) kívül az A. melléklet 14 fejezetében a biztonsági szempontok széles körére vonatkozóan 114 konkrét intézkedést tartalmazó 35 intézkedéscél (ellenőrzés) kiterjedt listáját tartalmazza, amelyeket az irányítási rendszer keretében kell végrehajtani. Ezeket az intézkedéseket az irányítási rendszer részeként kell végrehajtani, amennyiben azok az Ön vállalatára vonatkoznak.

A vállalati folyamatoknak az ISO 27001 szabványhoz való következetes igazítása bizonyítottan számos előnnyel jár:

  • A biztonsági szint folyamatos javítása
  • A meglévő kockázatok csökkentése
  • A megfelelési követelmények betartása
  • Nagyobb tudatosság az alkalmazottak körében
  • Az ügyfelek elégedettségének növekedése

A belső auditok és a felső vezetés részvételével végzett vezetői felülvizsgálatok jelentik a belső mozgatórugókat ennek eléréséhez.

További pozitív szempont, hogy az érdekelt felek, például a felügyeleti hatóságok, biztosítótársaságok, bankok, partnercégek nagyobb bizalmat építenek ki az Ön vállalatával szemben. Ennek oka, hogy a tanúsított irányítási rendszer azt jelzi, hogy az Ön szervezete strukturáltan kezeli a kockázatokat, és elkötelezett a folyamatos fejlesztés (CIP) mellett, így ellenállóbbá válik a nem kívánt befolyásokkal szemben.

Az ISO/IEC 27001 nemzetközi szabvány más irányítási rendszerektől, például az ISO 9001-től (minőségirányítás) vagy az ISO 14001-től (környezetirányítás) függetlenül is bevezethető, működtethető és tanúsítható.

 

Tovább
Kevesebb
Business36.png

Ki végezheti az ISO 27001 szerinti tanúsítást?

Egy információbiztonsági irányítási rendszer tanúsításához magának az adott tanúsító szervezetnek akkreditáltnak kell lennie az ISO/IEC 17021 és az ISO/IEC 27006 szabványok szerint. Az ISO/IEC 17021 a megfelelőségértékeléssel kapcsolatos témákat szabályozza, különösen az irányítási rendszereket auditáló és tanúsító ellenőrző szervezetekre vonatkozó követelményeket.

Ezen túlmenően az ISO/IEC 27006 szigorú követelményeket határoz meg, amelyeknek a tanúsító szervezeteknek meg kell felelniük ahhoz, hogy az ISO 27001 szerinti ISMS-t tanúsíthassák.

Ezek közé tartoznak:

  • A meghatározott auditálási erőfeszítések bizonyítása
  • az auditorok képesítésére vonatkozó követelmények.

A DQS-t a nemzeti német akkreditáló testület, a DakkS (Deutsche Akkreditierungsstelle GmbH) akkreditálta, így jogosult az ISO 27001 szerinti auditok és tanúsítások elvégzésére.

Függetlenül attól, hogy az Ön vállalata milyen iparágban tevékenykedik, a DQS auditorainak megkülönböztetett szakértelmére számíthat. Sokéves tapasztalattal rendelkeznek a különböző iparágak információbiztonsági irányítási rendszereinek értékelésében.

Tovább
Kevesebb
Business28.png

Hogyan működik az ISO 27001 tanúsítás?

Ha az ISO 27001 szabvány valamennyi követelményét végrehajtották, akkor tanúsíttathatja irányítási rendszerét. A DQS-nél egy többlépcsős tanúsítási folyamaton megy keresztül. Ha a vállalatnál már létezik tanúsított irányítási rendszer, a folyamat lerövidíthető.

Az első lépésben Ön megbeszéli velünk vállalatának részleteit és az ISO 27001 tanúsítás céljait. Ennek alapján részletes, az Ön vállalatának egyedi igényeihez igazított ajánlatot kap.

Egy projekttervezési megbeszélés hasznos lehet nagyobb projektek esetén, például az ütemezések és az auditok elvégzésének jobb összehangolása érdekében több telephelyen vagy részleggel. Az előaudit lehetőséget nyújt Önnek arra, hogy előzetesen azonosítsa irányítási rendszere erősségeit és fejlesztési lehetőségeit. Mindkét szolgáltatás választható.

A tanúsítási audit az Ön ISMS rendszerelemzésével és értékelésével kezdődik (audit 1. szakasz). Itt az auditor megállapítja, hogy az Ön irányítási rendszere kellően fejlett-e és készen áll-e a tanúsításra. A következő lépésben (rendszeraudit 2. szakasz) az auditora az ISO 27001 szabványt alkalmazva értékeli a helyszínen az összes irányítási folyamat hatékonyságát. Az audit eredményét egy záró megbeszélésen mutatják be. Szükség esetén intézkedési tervekben állapodnak meg.

A tanúsítási auditot követően az eredményeket a DQS független tanúsító bizottsága értékeli. Ha a szabvány összes követelménye teljesül, megkapja az ISO 27001 tanúsítványt.

A sikeres tanúsítást követően az ISMS kulcsfontosságú összetevőit legalább évente egyszer újra auditálják a helyszínen a folyamatos fejlesztés biztosítása érdekében.

Az ISO 27001 tanúsítvány legfeljebb három évig érvényes. Az újratanúsítást időben a lejárat előtt elvégzik, hogy biztosítsák a vonatkozó szabvány követelményeinek való folyamatos megfelelést. Megfelelés esetén új tanúsítványt állítanak ki.

Banking13.png

Mennyibe kerül az ISO 27001 tanúsítás?

A négy értékelési kritérium

Bár az ISO 27001 auditot strukturált előírások szerint kell elvégezni, a költségek különböző tényezőktől, például a szervezet összetettségétől függnek. Ezért nem lehet egy adott vállalatra vonatkozó, minden igényt kielégítő ajánlatot adni.

Az ISO 27001 szerinti tanúsítás költségeit többek között az alábbi négy kritérium alapján állapítják meg:

1. Az Ön információbiztonsági irányítási rendszerének összetettsége.

Figyelembe veszik az Ön vállalatának kritikus értékeit (például szabadalmak, személyes adatok, létesítmények, folyamatok). A tanúsítás költsége elsősorban az információbiztonsági követelményeken és az információk bizalmas jellegének, sértetlenségének és rendelkezésre állásának (VIV) mértékén alapul.

2. Az Ön vállalatának az ISMS hatálya alá tartozó alaptevékenysége.

Ezen a ponton különösen az Ön üzleti folyamataihoz kapcsolódó kockázatok játszanak fontos szerepet a szükséges auditálási ráfordítás meghatározásában. A jogi követelményeket éppúgy figyelembe veszik, mint az összetett, egyedi ügyfélkövetelményeket.

3. Az Ön ISMS-ében használt fő technológiák és összetevők

Az audit során megvizsgálják az Ön ISMS-ének technológiáját, valamint egyes összetevőit. Ezek közé tartoznak az informatikai platformok, szerverek, adatbázisok, alkalmazások, valamint a hálózati szegmensek. Az alapszabály itt a következő: Minél nagyobb a szabványos rendszerek aránya, és minél kevésbé összetett az Ön informatikája, annál kisebb a ráfordítás. Ettől függ az ISO 27001-es tanúsítás költsége is.

4 A házon belüli fejlesztések aránya az Ön ISMS-ében.

Ha nincs belső fejlesztés, és Ön főként szabványosított szoftverplatformokat használ, akkor az értékeléssel járó ráfordítás kisebb. Ha az Ön ISMS-ére a saját fejlesztésű szoftverek intenzív használata jellemző, és ha ezt a szoftvert központi üzleti területeken használják, akkor a tanúsítással kapcsolatos erőfeszítés magasabb lesz.

Ahhoz, hogy áttekintést tudjunk adni Önnek az ISMS-tanúsítás költségeiről, előzetesen pontos információkra van szükségünk az Ön üzleti modelljéről és az alkalmazási területről. Így személyre szabott ajánlatot tudunk adni Önnek.

Tovább
Kevesebb
Business2.png

Mire számíthat tőlünk

  • Több mint 35 éves tapasztalat az irányítási rendszerek és folyamatok tanúsítása terén
  • Iparban jártas auditorok és szakértők, akik komoly műszaki ismeretekkel rendelkeznek
  • Értékteremtő betekintés az Ön vállalatába
  • Nemzetközi elfogadottságú tanúsítványok
  • Szakértelem és akkreditációk az összes vonatkozó szabványhoz
  • Személyes, zökkenőmentes támogatás szakembereinktől - regionális, nemzeti és nemzetközi szinten
  • Egyedi ajánlatok rugalmas szerződési feltételekkel és rejtett költségek nélkül

Ajánlatkérés

Az Ön helyi kapcsolattartója

"Szívesen készítünk Önnek személyre szabott ajánlatot az ISO 27001-es tanúsítására."

Írjon nekünk!

Kérdése van?

Szívesen segítünk!
Lépjen velünk kapcsolatba!