Certifikácia ISO 27001

Informácie nás obklopujú všade a sú súčasťou každého procesu. Niekedy môžu byť nepodstatné, ale príliš často sú kritické a dôverné. Na to, aby ste mohli urobiť toto dôležité rozlíšenie pre vašu organizáciu, je potrebné klasifikovať informácie. Na tejto klasifikácii sú totiž založené ochranné opatrenia systému riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001.

Systém ISMS vytvára rámec na ochranu prevádzkových údajov a ich dôvernosti. Celosvetovo uznávaná norma zároveň zabezpečuje dostupnosť IT systémov zapojených do podnikových procesov. V tejto súvislosti vysiela certifikácia podľa normy ISO 27001 na trh silný signál: konkrétne nezávislé externé hodnotenie a potvrdenie účinnosti vášho ISMS.

S normou EN ISO/IEC 27001:2017-06 bola zverejnená verzia koordinovaná Európskym výborom pre normalizáciu (CEN). Spája v sebe dve opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Zmeny spojené s opravou zahŕňajú len vylepšený opis súvisiacich požiadaviek, ale žiadne nové, dodatočné požiadavky. Certifikáty podľa verzie ISO/IEC 27001:2013 si teda zachovávajú svoju platnosť.

Napríklad v Nemecku musia spoločnosti, ktoré patria do sektora kritickej infraštruktúry (KRITIS) a prekračujú určitú hranicu, predložiť dôkazy o tom, ako zabezpečujú bezpečnosť svojich informácií. Medzi sektory KRITIS patria energetika, vodohospodárstvo, zdravotníctvo, financie a poisťovníctvo, potravinárstvo, doprava a doprava, informačné technológie a telekomunikácie. Príslušný dôkaz o implementácii možno poskytnúť prostredníctvom bezpečnostných auditov, testov alebo certifikátov. Na tento účel sa ako základ auditu môžu použiť buď uznávané normy, ako je ISO 27001, alebo alternatívne odvetvové bezpečnostné normy uznané nemeckým Spolkovým úradom pre informačnú bezpečnosť (BSI).

Pre prax je obzvlášť cenná implementácia opatrení uvedených v prílohe A normy. Okrem časti zameranej na požiadavky systému riadenia (kapitoly 4 až 10) obsahuje norma ISO rozsiahly zoznam 35 cieľov opatrení (kontrol) so 114 konkrétnymi opatreniami pre najrôznejšie bezpečnostné aspekty v 14 kapitolách prílohy A. Opatrenia sa musia implementovať v rámci systému riadenia. Tieto opatrenia sa musia implementovať ako súčasť systému riadenia, pokiaľ sú relevantné pre vašu spoločnosť.

Ukázalo sa, že dôsledné zosúladenie podnikových procesov s normou ISO 27001 vedie k mnohým výhodám:

• Neustále zlepšovanie úrovne bezpečnosti
• Zníženie existujúcich rizík
• Dodržiavanie požiadaviek na súlad
• Väčšia informovanosť zamestnancov
• Zvýšená spokojnosť zákazníkov

Interné audity a preskúmania vedením za účasti vrcholového manažmentu sú internými pákami na dosiahnutie tohto cieľa.

Ďalšími pozitívnymi aspektmi je, že zainteresované strany, ako sú dozorné orgány, poisťovne, banky, partnerské spoločnosti, si vybudujú vyššiu úroveň dôvery vo vašu spoločnosť. Certifikovaný systém riadenia totiž signalizuje, že vaša organizácia sa zaoberá rizikami štruktúrovaným spôsobom a hlási sa k neustálemu zlepšovaniu (CIP), vďaka čomu je odolnejšia voči nežiaducim vplyvom.

Medzinárodnú normu ISO/IEC 27001 je možné zaviesť, prevádzkovať a certifikovať aj nezávisle od iných systémov manažérstva, ako sú ISO 9001 (manažérstvo kvality) alebo ISO 14001 (environmentálne manažérstvo).

Okrem toho norma ISO/IEC 27006 definuje prísne požiadavky, ktoré musia certifikačné orgány splniť, aby mohli certifikovať ISMS podľa normy ISO 27001.

Medzi tieto požiadavky patria:

• Dôkaz o špecifickom úsilí pri audite
• Požiadavky na kvalifikáciu audítorov.

Spoločnosť DQS je akreditovaná národným nemeckým akreditačným orgánom DakkS (Deutsche Akkreditierungsstelle GmbH), a preto je oprávnená vykonávať audity a certifikácie podľa normy ISO 27001.

Bez ohľadu na odvetvie, v ktorom vaša spoločnosť pôsobí, sa môžete spoľahnúť na osobitnú odbornosť audítorov DQS. Majú dlhoročné skúsenosti s posudzovaním systémov riadenia informačnej bezpečnosti v rôznych odvetviach.

Náklady na certifikáciu podľa normy ISO 27001 sa stanovujú okrem iného podľa nasledujúcich štyroch kritérií:

1. Zložitosť vášho systému riadenia bezpečnosti informácií.

Zohľadňujú sa kritické hodnoty (napríklad patenty, osobné údaje, zariadenia, procesy) vašej spoločnosti. Náklady na certifikáciu vychádzajú predovšetkým z požiadaviek na bezpečnosť informácií a z rozsahu, v akom sú ovplyvnené dôvernosť, integrita a dostupnosť (VIV) informácií.

2. Hlavná činnosť vašej spoločnosti v rámci rozsahu ISMS

V tomto bode zohrávajú dôležitú úlohu pri určovaní potrebného úsilia na audit najmä riziká spojené s vašimi obchodnými procesmi. Zohľadňujú sa právne požiadavky, ako aj komplexné, individuálne požiadavky zákazníkov.

3. Hlavné technológie a komponenty používané vo vašom ISMS

Počas auditu sa skúmajú technológie, ako aj jednotlivé komponenty vášho ISMS. Patria sem IT platformy, servery, databázy, aplikácie, ako aj sieťové segmenty. Platí tu základné pravidlo: Čím vyšší je podiel štandardných systémov a čím nižšia je zložitosť vašich IT, tým nižšia je náročnosť. Od toho závisia aj náklady na certifikáciu podľa normy ISO 27001.

4 Podiel vlastného vývoja vo vašom systéme ISMS

Ak nemáte žiadny interný vývoj a používate najmä štandardizované softvérové platformy, náročnosť posúdenia je nižšia. Ak sa váš systém ISMS vyznačuje intenzívnym používaním vlastného vývoja softvéru a ak sa tento softvér používa pre centrálne oblasti činnosti, úsilie na certifikáciu bude vyššie.

Aby sme vám mohli poskytnúť prehľad nákladov na certifikáciu ISMS, potrebujeme vopred presné informácie o vašom obchodnom modeli a oblasti použitia. Takto vám môžeme poskytnúť ponuku šitú na mieru.