Certificare ISO 27001

Informațiile ne înconjoară peste tot și fac parte din fiecare proces. Uneori pot fi lipsite de importanță, dar prea des sunt critice și confidențiale. Pentru a face această distincție importantă pentru organizația dumneavoastră, este necesar să clasificați informațiile. Aceasta deoarece măsurile de protecție ale unui sistem de management al securității informațiilor (ISMS) în conformitate cu ISO/IEC 27001 se bazează pe această clasificare.

Un ISMS creează cadrul pentru protejarea datelor operaționale și a confidențialității acestora. În același timp, standardul recunoscut la nivel mondial asigură disponibilitatea sistemelor IT implicate în procesele corporative. În acest context, certificarea ISO 27001 trimite un semnal puternic către piață: și anume, o evaluare externă independentă și o confirmare a eficacității ISMS-ului dumneavoastră.

A doua ediție a standardului ISO/IEC 27001 datează din 2013. Acum, standardul recunoscut la nivel internațional pentru ISMS a fost actualizat și republicat în cea de-a treia ediție ca ISO/IEC 27001:2022 la 25 octombrie 2022. Revizuirea este o consecință inevitabilă după ce ISO/IEC 27002, ca ghid de implementare care reglementează anexa A la ISO 27001, a fost revizuit și publicat în mod cuprinzător în februarie 2022.

Perioada de tranziție pentru certificatele ISO 27001 existente este de trei ani de la ultima zi a lunii de publicare a noului ISO/IEC 27001:2022, ceea ce înseamnă că toate certificatele conform ISO/IEC 27001:2013 trebuie să fi fost convertite la versiunea 2022 a ISO 27001 până la 31 octombrie 2025, Puteți citi despre noile caracteristici ale actualizării ISO 27001 în articolul nostru"Noul ISO/IEC 27001:2022 - schimbări cheie".

În Germania, de exemplu, întreprinderile care aparțin unui sector de infrastructură critică (KRITIS) și depășesc un anumit prag trebuie să furnizeze dovezi privind modul în care își asigură securitatea informațiilor. Sectoarele KRITIS includ energia, apa, sănătatea, finanțele și asigurările, alimentele, transportul și traficul, tehnologia informației și telecomunicațiile. Dovada corespunzătoare a punerii în aplicare poate fi furnizată prin audituri de securitate, teste sau certificări. În acest scop, pot fi utilizate ca bază pentru audit fie standarde recunoscute, cum ar fi ISO 27001, fie, alternativ, standarde de securitate specifice sectorului, recunoscute de Oficiul federal german pentru securitatea informațiilor (BSI).

Anexa A la ISO 27001, care trebuie utilizată în legătură cu secțiunea 6.1.3 pe baza analizelor de risc specifice companiei, este deosebit de valoroasă în practică. Controalele de securitate a informațiilor enumerate în anexa A derivă direct din măsurile enumerate în actualul ISO 27002, secțiunile 5-8, și sunt aliniate cu acestea.

Anterior, anexa A la ISO/IEC 27001:2013 includea un total de 114 controale pentru abordarea riscurilor de securitate a informațiilor, subdivizate în 14 secțiuni și 35 de obiective de control. În noul ISO/IEC 27001:2022-10, anexa A conține acum 93 de controale privind aspectele de securitate relevante, care sunt atribuite la 4 domenii tematice.

S-a dovedit că alinierea consecventă a proceselor companiei la ISO 27001 conduce la o serie de beneficii:

• Îmbunătățirea continuă a nivelului de securitate
• Reducerea riscurilor existente
• Aderarea la cerințele de conformitate
• O mai mare conștientizare în rândul angajaților
• Creșterea satisfacției clienților

Audituri interne și analize ale managementului cu participarea conducerii superioare sunt pârghiile interne pentru realizarea acestui obiectiv.

Alte aspecte pozitive sunt faptul că părțile interesate, cum ar fi autoritățile de supraveghere, companiile de asigurări, băncile, companiile partenere, dobândesc un nivel mai ridicat de încredere în întreprinderea dumneavoastră. Acest lucru se datorează faptului că un sistem de management certificat semnalează faptul că organizația dumneavoastră abordează riscurile într-un mod structurat și subscrie la îmbunătățirea continuă (CIP), ceea ce o face mai rezistentă la influențele nedorite.

Standardul internațional ISO/IEC 27001 poate fi, de asemenea, implementat, operat și certificat independent de alte sisteme de management, cum ar fi ISO 9001 (managementul calității) sau ISO 14001 (managementul mediului).

Actuala versiune ISO/IEC 27006-1:2024 a fost publicată în martie 2024. Versiunea germană DIN EN ISO/IEC 27006-1 a fost publicată în august 2024 și poate fi obținută de la DIN Media. Noul standard va înlocui complet versiunile vechi ISO/IEC 27006:2015 și amendamentul Amd 1:2020. Prin urmare, fiecare organism de certificare acreditat trebuie să implementeze modificările conținute în acesta până la sfârșitul lunii martie 2026 cel târziu. DQS se angajează să implementeze modificările necesare proceselor interne cât mai curând posibil. Implementarea la timp va fi verificată de DAkkS. Pentru utilizatorii ISO/IEC 27001:2022, tranziția la cea mai recentă versiune nu va duce la nicio modificare a cerințelor sistemului lor de management al securității informațiilor.

O abordare integrată oferă avantaje decisive:

• Abordarea de tip all-hazards: În timp ce ISO 27001 se concentrează pe protejarea informațiilor și a datelor împotriva pierderii, furtului sau manipulării, ISO 22301 garantează că întreprinderile pot continua să funcționeze și pot reveni rapid la operațiunile normale chiar și în fața altor amenințări (întreruperi ale lanțului de aprovizionare, pene de curent, fenomene meteorologice extreme).
• Prevenirea eficientă a amenințărilor: Legătura strânsă dintre cele două sisteme de management permite organizațiilor să abordeze riscurile atât preventiv, cât și reactiv - de la atacuri cibernetice la dezastre naturale, se instituie un sistem eficient de gestionare a urgențelor și crizelor
• Efecte de sinergie: O implementare paralelă a ambelor standarde reduce efortul necesar pentru integrare și certificare. Procesele pot fi armonizate, interfețele pot fi optimizate și se poate evita duplicarea activității. Elemente individuale din ISO 22301 sunt deja necesare în ISO 27001.

Prin certificare, companiile nu numai că își dovedesc capacitatea de a evita pericolele în mod cuprinzător, dar și consolidează încrederea clienților, partenerilor și părților interesate atunci când are loc un atac cibernetic sau un alt incident de securitate. BCM și securitatea informațiilor sunt mai mult decât suma părților lor - sunt o echipă imbatabilă pentru a vă proteja compania pentru viitor.

Costurile pentru certificarea conform ISO 27001 sunt stabilite, printre altele, în funcție de următoarele patru criterii:

1. 1. Complexitatea sistemului dumneavoastră de management al securității informațiilor.

Sunt luate în considerare valorile critice (de exemplu, brevete, date cu caracter personal, instalații, procese) ale societății dumneavoastră. Costul certificării se bazează în principal pe cerințele de securitate a informațiilor și pe măsura în care sunt afectate confidențialitatea, integritatea și disponibilitatea (VIV) informațiilor.

2. Activitatea de bază a societății dumneavoastră în cadrul domeniului de aplicare al SMSI

În acest moment, riscurile asociate cu procesele dvs. de afaceri în special joacă un rol important în determinarea efortului de audit necesar. Sunt luate în considerare cerințele legale, precum și cerințele complexe și individuale ale clienților.

3. Principalele tehnologii și componente utilizate în SMSI

În timpul auditului, sunt examinate atât tehnologia, cât și componentele individuale ale SMSI-ului dumneavoastră. Acestea includ platforme IT, servere, baze de date, aplicații, precum și segmente de rețea. Regula de bază în acest caz este următoarea: Cu cât este mai mare proporția de sisteme standard și cu cât este mai mică complexitatea IT, cu atât este mai mic efortul. Costurile unei certificări ISO 27001 depind, de asemenea, de acest aspect.

4 Proporția de dezvoltări interne în cadrul ISMS

Dacă nu există dezvoltări interne și utilizați în principal platforme software standardizate, efortul unei evaluări este mai redus. Dacă ISMS-ul dvs. se caracterizează prin utilizarea intensivă a software-ului dezvoltat intern și dacă acest software este utilizat pentru domeniile de activitate centrale, efortul pentru certificare va fi mai mare.

Pentru a vă putea oferi o imagine de ansamblu a costurilor pentru o certificare ISMS, avem nevoie în prealabil de informații precise cu privire la modelul dumneavoastră de afaceri și la domeniul de aplicare. În acest fel, vă putem oferi o ofertă personalizată.