Bezpieczeństwo informacji dzięki systemowi
Udowodnione bezpieczeństwo danych i informacji
Bezpieczeństwo jako część kultury korporacyjnej
Skuteczne wdrożenie procesu zarządzania ryzykiem
Ciągłe doskonalenie poziomu bezpieczeństwa

Co to jest ISO 27001?
Informacja otacza nas wszędzie i jest częścią każdego procesu. Czasami może być nieistotna, ale zbyt często jest krytyczna i poufna. Aby dokonać tego ważnego dla Państwa organizacji rozróżnienia, konieczne jest sklasyfikowanie informacji. Na tej klasyfikacji opierają się bowiem środki ochronne Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnie z normą ISO/IEC 27001.
ISMS tworzy ramy dla ochrony danych operacyjnych i ich poufności. Jednocześnie, ta uznana na całym świecie norma zapewnia dostępność systemów IT zaangażowanych w procesy korporacyjne. W tym kontekście, certyfikacja ISO 27001 stanowi silny sygnał dla rynku: niezależna zewnętrzna ocena i potwierdzenie skuteczności Państwa ISMS.
Wraz z EN ISO/IEC 27001:2017-06 opublikowana została wersja koordynowana przez Europejski Komitet Normalizacyjny (CEN). Łączy ona w sobie dwie korekty (corrigendy) Cor 1:2014 i Cor 2:2015. Zmiany związane z korektą obejmują jedynie poprawiony opis związanych z nią wymagań, nie ma natomiast nowych, dodatkowych wymagań. Certyfikaty zgodne z wersją ISO/IEC 27001:2013 zachowują więc swoją ważność.

Dla kogo jest odpowiednia certyfikacja wg ISO 27001?
Na przykład w Niemczech firmy, które należą do sektora infrastruktury krytycznej (KRITIS) i przekraczają określony próg, muszą przedstawić dowody na to, w jaki sposób zapewniają bezpieczeństwo informacji. Do sektorów KRITIS należą: energia, woda, zdrowie, finanse i ubezpieczenia, żywność, transport i ruch drogowy, technologie informacyjne i telekomunikacja. Odpowiedni dowód wdrożenia może być dostarczony przez audyty bezpieczeństwa, testy lub certyfikaty. W tym celu, jako podstawę audytu można wykorzystać uznane standardy, takie jak ISO 27001 lub alternatywnie, branżowe standardy bezpieczeństwa uznane przez niemiecki Federalny Urząd Bezpieczeństwa Informacji (BSI).

Co sprawia, że norma ISO 27001 jest przydatna dla mojej firmy?
Szczególnie cenne dla praktyki jest wdrożenie środków zawartych w załączniku A do normy. Oprócz części zawierającej wymagania dotyczące systemu zarządzania (rozdziały od 4 do 10), norma ISO zawiera obszerną listę 35 celów działań (kontroli) ze 114 konkretnymi działaniami dotyczącymi wielu różnych aspektów bezpieczeństwa w 14 rozdziałach załącznika A. Działania te muszą być wdrożone w ramach systemu zarządzania. Środki te muszą być wdrożone jako część systemu zarządzania, o ile są one istotne dla Państwa firmy.
Udowodniono, że konsekwentne dostosowanie procesów firmowych do ISO 27001 prowadzi do wielu korzyści:
- Ciągłej poprawy poziomu bezpieczeństwa
- Redukcja istniejącego ryzyka
- Przestrzeganie wymagań zgodności
- Większa świadomość wśród pracowników
- Zwiększona satysfakcja klienta
Wewnętrzne audyty i przeglądy zarządzania z udziałem najwyższego kierownictwa są wewnętrznymi dźwigniami do osiągnięcia tego celu.
Innym pozytywnym aspektem jest to, że zainteresowane strony, takie jak urzędy nadzoru, firmy ubezpieczeniowe, banki, firmy partnerskie budują wyższy poziom zaufania do Państwa firmy. Dzieje się tak dlatego, że certyfikowany system zarządzania sygnalizuje, że Państwa organizacja zajmuje się ryzykiem w sposób zorganizowany i bierze udział w ciągłym doskonaleniu (CIP), co czyni ją bardziej odporną na niepożądane wpływy.
Międzynarodowa norma ISO/IEC 27001 może być również wdrażana, obsługiwana i certyfikowana niezależnie od innych systemów zarządzania, takich jak ISO 9001 (zarządzanie jakością) lub ISO 14001 (zarządzanie środowiskowe).

Kto jest uprawniony do przeprowadzania certyfikacji zgodnie z normą ISO 27001?
Ponadto norma ISO/IEC 27006 definiuje ścisłe wymagania, które muszą być spełnione przez jednostki certyfikujące w celu certyfikacji ISMS zgodnie z ISO 27001.
Obejmują one:
- Dowody określonego wysiłku związanego z audytem.
- Wymagania dotyczące kwalifikacji audytorów.
DQS posiada akredytację niemieckiej jednostki akredytacyjnej DakkS (Deutsche Akkreditierungsstelle GmbH) i dlatego jest upoważniona do przeprowadzania audytów i certyfikacji zgodnie z ISO 27001.
Niezależnie od branży, w której działa Państwa firma, mogą Państwo polegać na wyróżniającej się ekspertyzie audytorów DQS. Posiadają oni wieloletnie doświadczenie w ocenie systemów zarządzania bezpieczeństwem informacji w różnych branżach.

BCM i bezpieczeństwo informacji: niepokonany zespół
Zintegrowane podejście oferuje decydujące korzyści:
- Podejście uwzględniające wszystkie zagrożenia: Podczas gdy ISO 27001 koncentruje się na ochronie informacji i danych przed utratą, kradzieżą lub manipulacją, ISO 22301 zapewnia, że firmy mogą kontynuować działalność i szybko powrócić do normalnego funkcjonowania nawet w obliczu innych zagrożeń (zakłócenia w łańcuchu dostaw, przerwy w dostawie prądu, ekstremalne zjawiska pogodowe).
- Skuteczne zapobieganie zagrożeniom: Ścisłe powiązanie obu systemów zarządzania umożliwia organizacjom przeciwdziałanie zagrożeniom zarówno prewencyjnie, jak i reaktywnie - od cyberataków po klęski żywiołowe, tworzony jest skuteczny system zarządzania kryzysowego i awaryjnego
- Efekt synergii: Równoległe wdrożenie obu standardów zmniejsza wysiłek wymagany do integracji i certyfikacji. Można zharmonizować procesy, zoptymalizować interfejsy i uniknąć powielania pracy. Poszczególne elementy normy ISO 22301 są już wymagane w normie ISO 27001.
Dzięki certyfikacji firmy nie tylko udowadniają swoją zdolność do kompleksowego zapobiegania zagrożeniom, ale także wzmacniają zaufanie klientów, partnerów i interesariuszy, gdy dojdzie do cyberataku lub innego incydentu związanego z bezpieczeństwem. BCM i bezpieczeństwo informacji to więcej niż suma ich części - to bezkonkurencyjny zespół, który zabezpiecza firmę na przyszłość.

Jak przebiega proces certyfikacji ISO 27001?
Po wdrożeniu wszystkich wymagań normy ISO 27001, system zarządzania może zostać poddany certyfikacji. W DQS przejdą Państwo przez wieloetapowy proces certyfikacji. Jeśli w firmie funkcjonuje już certyfikowany system zarządzania, proces ten może zostać skrócony.
W pierwszym etapie omawiamy z Państwem Państwa firmę i cele certyfikacji ISO 27001. Na tej podstawie otrzymają Państwo szczegółową ofertę dostosowaną do indywidualnych potrzeb Państwa firmy.
Audyt certyfikacyjny rozpoczyna się od analizy i oceny systemu ISMS (etap 1 audytu). Tutaj audytor określa, czy system zarządzania jest wystarczająco rozwinięty i gotowy do certyfikacji. W kolejnym kroku (etap audytu systemu 2) audytor ocenia skuteczność wszystkich procesów zarządzania w zakładzie, stosując normę ISO 27001. Wynik audytu jest przedstawiany na spotkaniu końcowym. W razie potrzeby uzgadniane są plany działań.
Po zakończeniu audytu certyfikacyjnego, wyniki są oceniane przez niezależną komisję certyfikacyjną DQS. Jeśli wszystkie wymagania normy zostały spełnione, otrzymują Państwo certyfikat ISO 27001.
Po pomyślnej certyfikacji kluczowe elementy systemu ISMS są ponownie audytowane na miejscu, co najmniej raz w roku, w celu zapewnienia ciągłego doskonalenia.
Certyfikat ISO 27001 jest ważny maksymalnie przez trzy lata. Recertyfikacja jest przeprowadzana w odpowiednim czasie przed wygaśnięciem certyfikatu, aby zapewnić ciągłą zgodność z wymaganiami normy. Po uzyskaniu zgodności wydawany jest nowy certyfikat.

Ile kosztuje certyfikacja ISO 27001?
Koszty certyfikacji zgodnie z ISO 27001 są ustalane między innymi na podstawie następujących czterech kryteriów:
1. Złożoność systemu zarządzania bezpieczeństwem informacji.
Pod uwagę brane są wartości krytyczne (np. patenty, dane osobowe, obiekty, procesy) Państwa firmy. Koszt certyfikacji opiera się przede wszystkim na wymaganiach dotyczących bezpieczeństwa informacji oraz na stopniu wpływu na poufność, integralność i dostępność (VIV) informacji.
2. Podstawowa działalność Państwa firmy w zakresie ISMS
W tym punkcie ryzyka związane z Państwa procesami biznesowymi odgrywają ważną rolę w określeniu koniecznych działań audytowych. Pod uwagę brane są zarówno wymagania prawne, jak i złożone, indywidualne wymagania klientów.
3. Główne technologie i komponenty wykorzystywane w Państwa ISMS
Podczas audytu badana jest zarówno technologia, jak i poszczególne komponenty Państwa ISMS. Należą do nich platformy IT, serwery, bazy danych, aplikacje oraz segmenty sieci. Podstawową zasadą jest tutaj: Im wyższy udział systemów standardowych i im mniejsza złożoność Państwa IT, tym niższy nakład pracy. Od tego zależą również koszty certyfikacji ISO 27001.
4 Proporcja rozwoju wewnętrznego w Państwa systemie ISMS
Jeśli nie ma rozwoju wewnętrznego i korzystasz głównie ze standardowych platform oprogramowania, nakład pracy związany z oceną jest niższy. Jeśli Państwa system ISMS charakteryzuje się intensywnym wykorzystaniem oprogramowania własnego autorstwa i jeśli oprogramowanie to jest wykorzystywane w centralnych obszarach działalności, nakład pracy związany z certyfikacją będzie wyższy.
Abyśmy mogli przedstawić Państwu koszty certyfikacji ISMS, potrzebujemy dokładnych informacji na temat Państwa modelu biznesowego i obszaru zastosowania. W ten sposób będziemy mogli przedstawić Państwu ofertę dostosowaną do Państwa potrzeb.

Czego mogą Państwo od nas oczekiwać
Nowa norma ISO/IEC 27001:2022 - kluczowe zmiany
W tym wpisie na blogu DQS znajdziesz najważniejsze informacje o kluczowych zmianach i uzupełnieniach w zaktualizowanej normie ISO 27001:2022.