Bezpečnosť informácií so systémom

Téma "Bezpečnosť informácií" je pre spoločnosti v priebehu digitálnej transformácie čoraz naliehavejšia. Bez dostatočných bezpečnostných opatrení hrozí strata a krádež údajov hackermi, prerušenie činnosti v dôsledku útokov cez web alebo zneužitia údajov. Jednou z možností štruktúrovaného prístupu je systém riadenia bezpečnosti informácií (ISMS) podľa normy ISO 27001.

Preukázateľné zabezpečenie údajov a informácií

Bezpečnosť ako súčasť podnikovej kultúry

Účinná implementácia procesu riadenia rizík

Neustále zlepšovanie úrovne zabezpečenia

Business10.png
Loading...

Čo je to norma ISO 27001?

Norma ISO/IEC 27001 je poprednou medzinárodnou normou na zavedenie komplexného systému riadenia bezpečnosti informácií. Zameriava sa na identifikáciu, posudzovanie a riadenie rizík procesov spracovania informácií. Bezpečnosť dôverných informácií sa zdôrazňuje ako významný strategický prvok.

Informácie nás obklopujú všade a sú súčasťou každého procesu. Niekedy môžu byť nepodstatné, ale príliš často sú kritické a dôverné. Na to, aby ste mohli urobiť toto dôležité rozlíšenie pre vašu organizáciu, je potrebné klasifikovať informácie. Na tejto klasifikácii sú totiž založené ochranné opatrenia systému riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001.

Systém ISMS vytvára rámec na ochranu prevádzkových údajov a ich dôvernosti. Celosvetovo uznávaná norma zároveň zabezpečuje dostupnosť IT systémov zapojených do podnikových procesov. V tejto súvislosti vysiela certifikácia podľa normy ISO 27001 na trh silný signál: konkrétne nezávislé externé hodnotenie a potvrdenie účinnosti vášho ISMS.

S normou EN ISO/IEC 27001:2017-06 bola zverejnená verzia koordinovaná Európskym výborom pre normalizáciu (CEN). Spája v sebe dve opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Zmeny spojené s opravou zahŕňajú len vylepšený opis súvisiacich požiadaviek, ale žiadne nové, dodatočné požiadavky. Certifikáty podľa verzie ISO/IEC 27001:2013 si teda zachovávajú svoju platnosť.

Zobraziť viac
Zobraziť menej
SEO19.png
Loading...

Pre koho je certifikácia podľa normy ISO 27001 vhodná?

Norma ISMS ISO 27001 platí na celom svete. Poskytuje spoločnostiam všetkých veľkostí a odvetví rámec na plánovanie, implementáciu a monitorovanie bezpečnosti informácií. Požiadavky sú uplatniteľné a platia pre súkromné a verejné spoločnosti, ako aj neziskové organizácie.

Napríklad v Nemecku musia spoločnosti, ktoré patria do sektora kritickej infraštruktúry (KRITIS) a prekračujú určitú hranicu, predložiť dôkazy o tom, ako zabezpečujú bezpečnosť svojich informácií. Medzi sektory KRITIS patria energetika, vodohospodárstvo, zdravotníctvo, financie a poisťovníctvo, potravinárstvo, doprava a doprava, informačné technológie a telekomunikácie. Príslušný dôkaz o implementácii možno poskytnúť prostredníctvom bezpečnostných auditov, testov alebo certifikátov. Na tento účel sa ako základ auditu môžu použiť buď uznávané normy, ako je ISO 27001, alebo alternatívne odvetvové bezpečnostné normy uznané nemeckým Spolkovým úradom pre informačnú bezpečnosť (BSI).

Zobraziť viac
Zobraziť menej
Business11.png
Loading...

V čom je norma ISO 27001 užitočná pre moju spoločnosť?

Zavedenie systému ISMS podľa normy ISO/IEC 27001 je pre vašu spoločnosť strategickým rozhodnutím. Splnenie zámerne všeobecných požiadaviek normy musí odrážať konkrétnu situáciu spoločnosti. Zavedenie v spoločnosti závisí od potrieb a cieľov, bezpečnostných požiadaviek a organizačných procesov, ako aj od veľkosti a štruktúry spoločnosti.

Pre prax je obzvlášť cenná implementácia opatrení uvedených v prílohe A normy. Okrem časti zameranej na požiadavky systému riadenia (kapitoly 4 až 10) obsahuje norma ISO rozsiahly zoznam 35 cieľov opatrení (kontrol) so 114 konkrétnymi opatreniami pre najrôznejšie bezpečnostné aspekty v 14 kapitolách prílohy A. Opatrenia sa musia implementovať v rámci systému riadenia. Tieto opatrenia sa musia implementovať ako súčasť systému riadenia, pokiaľ sú relevantné pre vašu spoločnosť.

Ukázalo sa, že dôsledné zosúladenie podnikových procesov s normou ISO 27001 vedie k mnohým výhodám:

  • Neustále zlepšovanie úrovne bezpečnosti
  • Zníženie existujúcich rizík
  • Dodržiavanie požiadaviek na súlad
  • Väčšia informovanosť zamestnancov
  • Zvýšená spokojnosť zákazníkov

Interné audity a preskúmania vedením za účasti vrcholového manažmentu sú internými pákami na dosiahnutie tohto cieľa.

Ďalšími pozitívnymi aspektmi je, že zainteresované strany, ako sú dozorné orgány, poisťovne, banky, partnerské spoločnosti, si vybudujú vyššiu úroveň dôvery vo vašu spoločnosť. Certifikovaný systém riadenia totiž signalizuje, že vaša organizácia sa zaoberá rizikami štruktúrovaným spôsobom a hlási sa k neustálemu zlepšovaniu (CIP), vďaka čomu je odolnejšia voči nežiaducim vplyvom.

Medzinárodnú normu ISO/IEC 27001 je možné zaviesť, prevádzkovať a certifikovať aj nezávisle od iných systémov manažérstva, ako sú ISO 9001 (manažérstvo kvality) alebo ISO 14001 (environmentálne manažérstvo).

Zobraziť viac
Zobraziť menej
Business36.png
Loading...

Kto môže vykonávať certifikáciu podľa normy ISO 27001?

Na certifikáciu systému riadenia informačnej bezpečnosti musí byť príslušný certifikačný orgán sám akreditovaný podľa noriem ISO/IEC 17021 a ISO/IEC 27006. Norma ISO/IEC 17021 upravuje témy súvisiace s posudzovaním zhody, konkrétne požiadavky na kontrolné orgány, ktoré vykonávajú audit a certifikáciu systémov riadenia.

Okrem toho norma ISO/IEC 27006 definuje prísne požiadavky, ktoré musia certifikačné orgány splniť, aby mohli certifikovať ISMS podľa normy ISO 27001.

Medzi tieto požiadavky patria:

  • Dôkaz o špecifickom úsilí pri audite
  • Požiadavky na kvalifikáciu audítorov.

Spoločnosť DQS je akreditovaná národným nemeckým akreditačným orgánom DakkS (Deutsche Akkreditierungsstelle GmbH), a preto je oprávnená vykonávať audity a certifikácie podľa normy ISO 27001.

Bez ohľadu na odvetvie, v ktorom vaša spoločnosť pôsobí, sa môžete spoľahnúť na osobitnú odbornosť audítorov DQS. Majú dlhoročné skúsenosti s posudzovaním systémov riadenia informačnej bezpečnosti v rôznych odvetviach.

Zobraziť viac
Zobraziť menej
Business28.png
Loading...

Ako prebieha certifikácia podľa normy ISO 27001?

Po implementácii všetkých požiadaviek normy ISO 27001 môžete svoj systém riadenia certifikovať. V spoločnosti DQS prejdete viacstupňovým certifikačným procesom. Ak je v spoločnosti už zavedený certifikovaný systém riadenia, proces sa môže skrátiť.

V prvom kroku s nami prediskutujete vašu spoločnosť a ciele certifikácie podľa normy ISO 27001. Na základe toho dostanete podrobnú ponuku prispôsobenú individuálnym potrebám vašej spoločnosti.

Stretnutie na plánovanie projektu môže byť užitočné pri väčších projektoch, napríklad na lepšiu koordináciu harmonogramov a vykonávania auditov s viacerými lokalitami alebo divíziami. Predaudit vám ponúka príležitosť vopred identifikovať silné stránky a potenciál na zlepšenie vášho systému riadenia. Obe služby sú voliteľné.

Certifikačný audit sa začína analýzou systému a hodnotením vášho ISMS (1. etapa auditu). Tu audítor určí, či je váš systém manažérstva dostatočne vyvinutý a pripravený na certifikáciu. V ďalšom kroku (2. etapa auditu systému) váš audítor posudzuje efektívnosť všetkých procesov riadenia na mieste, pričom uplatňuje normu ISO 27001. Výsledok auditu sa prezentuje na záverečnom stretnutí. V prípade potreby sa dohodnú akčné plány.

Po certifikačnom audite výsledky vyhodnotí nezávislá certifikačná komisia DQS. Ak sú splnené všetky požiadavky normy, získate certifikát ISO 27001.

Po úspešnej certifikácii sa kľúčové zložky vášho systému ISMS opakovane auditujú na mieste minimálne raz ročne, aby sa zabezpečilo neustále zlepšovanie.

Certifikát ISO 27001 je platný maximálne tri roky. Recertifikácia sa vykonáva v dostatočnom časovom predstihu pred uplynutím platnosti, aby sa zabezpečil trvalý súlad s platnými požiadavkami normy. Po dosiahnutí súladu sa vydá nový certifikát.

Banking13.png
Loading...

Koľko stojí certifikácia podľa normy ISO 27001?

Štyri kritériá hodnotenia

Hoci sa audit podľa normy ISO 27001 má vykonať podľa štruktúrovaných špecifikácií, náklady závisia od rôznych faktorov, napríklad od zložitosti vašej organizácie. Preto nemôže existovať žiadna univerzálna ponuka pre danú spoločnosť.

Náklady na certifikáciu podľa normy ISO 27001 sa stanovujú okrem iného podľa nasledujúcich štyroch kritérií:

1. Zložitosť vášho systému riadenia bezpečnosti informácií.

Zohľadňujú sa kritické hodnoty (napríklad patenty, osobné údaje, zariadenia, procesy) vašej spoločnosti. Náklady na certifikáciu vychádzajú predovšetkým z požiadaviek na bezpečnosť informácií a z rozsahu, v akom sú ovplyvnené dôvernosť, integrita a dostupnosť (VIV) informácií.

2. Hlavná činnosť vašej spoločnosti v rámci rozsahu ISMS

V tomto bode zohrávajú dôležitú úlohu pri určovaní potrebného úsilia na audit najmä riziká spojené s vašimi obchodnými procesmi. Zohľadňujú sa právne požiadavky, ako aj komplexné, individuálne požiadavky zákazníkov.

3. Hlavné technológie a komponenty používané vo vašom ISMS

Počas auditu sa skúmajú technológie, ako aj jednotlivé komponenty vášho ISMS. Patria sem IT platformy, servery, databázy, aplikácie, ako aj sieťové segmenty. Platí tu základné pravidlo: Čím vyšší je podiel štandardných systémov a čím nižšia je zložitosť vašich IT, tým nižšia je náročnosť. Od toho závisia aj náklady na certifikáciu podľa normy ISO 27001.

4 Podiel vlastného vývoja vo vašom systéme ISMS

Ak nemáte žiadny interný vývoj a používate najmä štandardizované softvérové platformy, náročnosť posúdenia je nižšia. Ak sa váš systém ISMS vyznačuje intenzívnym používaním vlastného vývoja softvéru a ak sa tento softvér používa pre centrálne oblasti činnosti, úsilie na certifikáciu bude vyššie.

Aby sme vám mohli poskytnúť prehľad nákladov na certifikáciu ISMS, potrebujeme vopred presné informácie o vašom obchodnom modeli a oblasti použitia. Takto vám môžeme poskytnúť ponuku šitú na mieru.

Zobraziť viac
Zobraziť menej
Business2.png
Loading...

Čo môžete od nás očakávať

  • Viac ako 35 rokov skúseností s certifikáciou systémov riadenia a procesov
  • Skúsení audítori a odborníci z odvetvia so silnými technickými znalosťami
  • Poznatky o vašej spoločnosti s pridanou hodnotou
  • Certifikáty s medzinárodnou akceptáciou
  • Odborné znalosti a akreditácie pre všetky relevantné normy
  • Osobná a plynulá podpora našich špecialistov - regionálna, národná a medzinárodná
  • Individuálne ponuky s flexibilnými zmluvnými podmienkami a bez skrytých nákladov
Loading...

Žiadosť o cenovú ponuku

Váš miestny kontakt

"Radi vám poskytneme individuálnu ponuku na certifikáciu vášho systému ISMS podľa normy ISO 27001."