Man and a woman with a laptop in a server room

Certificiranje ISO 27001

Vaše povpraševanje


Informacijska varnost s sistemom

Tema "Informacijska varnost" postaja za podjetja v času digitalne preobrazbe vse bolj pereča. Brez zadostnih varnostnih ukrepov obstaja nevarnost izgube in kraje podatkov s strani hekerjev, izpada poslovanja zaradi napadov prek spleta ali zlorabe podatkov. Ena od možnosti za strukturiran pristop je sistem upravljanja informacijske varnosti (ISMS) v skladu s standardom ISO 27001.

Dokazljiva varnost podatkov in informacij

Informacijska varnost kot del kulture podjetja

Učinkovito izvajanje procesa upravljanja tveganj

Nenehno izboljševanje ravni varnosti

Business10.png

Kaj je ISO 27001?

ISO/IEC 27001 je vodilni mednarodni standard za izvajanje celovitega sistema upravljanja informacijske varnosti. Osredotoča se na prepoznavanje, ocenjevanje in obvladovanje tveganj pri postopkih ravnanja z informacijami. Varnost zaupnih informacij je poudarjena kot pomemben strateški element.

Informacije nas obkrožajo povsod in so del vsakega procesa. Včasih so morda nepomembne, prepogosto pa so kritične in zaupne. Da bi lahko izvedli to pomembno razlikovanje za vašo organizacijo, je treba informacije razvrstiti. Na tej klasifikaciji namreč temeljijo zaščitni ukrepi sistema upravljanja varnosti informacij (ISMS) v skladu s standardom ISO/IEC 27001.

Sistem ISMS ustvarja okvir za zaščito operativnih podatkov in njihove zaupnosti. Hkrati ta svetovno priznani standard zagotavlja razpoložljivost sistemov IT, vključenih v procese podjetja. V tem kontekstu certifikat ISO 27001 pošilja močno sporočilo trgu: neodvisno zunanje vrednotenje in potrditev učinkovitosti vašega sistema ISMS.

Druga izdaja standarda ISO/IEC 27001 je iz leta 2013. Zdaj je bil mednarodno priznan standard za ISMS posodobljen in 25. oktobra 2022 ponovno objavljen v svoji tretji izdaji kot ISO/IEC 27001:2022. Revizija je neizogibna posledica tega, da je bil standard ISO/IEC 27002 kot izvedbeno navodilo, ki ureja Prilogo A k standardu ISO 27001, celovito revidiran in objavljen februarja 2022.

Prehodno obdobje za obstoječe certifikate ISO 27001 je tri leta od zadnjega dne v mesecu objave novega standarda ISO/IEC 27001:2022, kar pomeni, da morajo biti vsi certifikati v skladu s standardom ISO/IEC 27001:2013 pretvorjeni v različico ISO 27001 iz leta 2022 do 31. oktobra 2025, O novostih posodobitve standarda ISO 27001 lahko preberete v našem članku"Novi standard ISO/IEC 27001:2022 - ključne spremembe".

Pokaži več
Pokaži manj
SEO19.png

Za koga je certificiranje po standardu ISO 27001 primerno?

Standard ISMS ISO 27001 velja po vsem svetu. Podjetjem vseh velikosti in panog zagotavlja okvir za načrtovanje, izvajanje in spremljanje informacijske varnosti. Zahteve so uporabne in veljajo za zasebna in javna podjetja ter neprofitne organizacije.

V Nemčiji morajo na primer podjetja, ki spadajo v sektor kritične infrastrukture (KRITIS) in presegajo določen prag, predložiti dokazila o tem, kako zagotavljajo informacijsko varnost. Sektorji KRITIS vključujejo energetiko, vodo, zdravstvo, finance in zavarovalništvo, hrano, transport in promet, informacijsko tehnologijo in telekomunikacije. Ustrezna dokazila o izvajanju se lahko zagotovijo z varnostnimi revizijami, testi ali certifikati. V ta namen se lahko kot podlaga za revizijo uporabijo priznani standardi, kot je ISO 27001, ali pa posebni varnostni standardi za posamezno panogo, ki jih priznava nemški Zvezni urad za informacijsko varnost (BSI).

Pokaži več
Pokaži manj
Business11.png

Zakaj je standard ISO 27001 uporaben za moje podjetje?

Uvedba sistema ISMS v skladu s standardom ISO/IEC 27001 je strateška odločitev za vaše podjetje. Izpolnjevanje namenoma splošnih zahtev standarda mora odražati poseben položaj podjetja. Uvedba v vašem podjetju je odvisna od potreb in ciljev, varnostnih zahtev in organizacijskih procesov ter velikosti in strukture podjetja.

V praksi je še posebej dragocena Priloga A k standardu ISO 27001, ki jo je treba uporabljati v povezavi z oddelkom 6.1.3 na podlagi analiz tveganja, specifičnih za podjetje. Nadzor informacijske varnosti, naveden v Prilogi A, je neposredno izpeljan in usklajen z ukrepi, navedenimi v oddelkih 5 do 8 veljavnega standarda ISO 27002.

Prej je Priloga A k standardu ISO/IEC 27001:2013 vključevala skupno 114 kontrol za obravnavo tveganj informacijske varnosti, razdeljenih na 14 oddelkov in 35 kontrolnih ciljev. V novem standardu ISO/IEC 27001:2022-10 Priloga A zdaj vsebuje 93 kontrol na ustreznih varnostnih vidikih, ki so razporejene na 4 tematska področja.

Dokazano je, da dosledna uskladitev procesov v podjetju s standardom ISO 27001 prinaša številne koristi:

  • nenehno izboljševanje ravni varnosti
  • zmanjšanje obstoječih tveganj
  • upoštevanje zahtev glede skladnosti
  • večja ozaveščenost zaposlenih
  • večje zadovoljstvo strank

Notranje revizije in vodstveni pregledi, pri katerih sodelujejo najvišjega vodstva so notranji vzvodi za doseganje tega cilja.

Drugi pozitivni vidiki so, da zainteresirane strani, kot so nadzorni organi, zavarovalnice, banke, partnerska podjetja, vzpostavijo višjo raven zaupanja v vaše podjetje. Certificiran sistem vodenja namreč sporoča, da vaša organizacija strukturirano obravnava tveganja in se zavzema za nenehno izboljševanje (CIP), zaradi česar je bolj odporna na neželene vplive.

Mednarodni standard ISO/IEC 27001 se lahko izvaja, upravlja in certificira tudi neodvisno od drugih sistemov vodenja, kot so ISO 9001 (upravljanje kakovosti) ali ISO 14001 (okoljsko upravljanje).

Pokaži več
Pokaži manj
Business36.png

Kdo lahko izvaja certificiranje v skladu s standardom ISO 27001?

Za certificiranje sistema upravljanja varnosti informacij mora biti ustrezni certifikacijski organ akreditiran v skladu z ISO/IEC 17021 in ISO/IEC 27006. Standard ISO/IEC 17021 ureja teme, povezane z ugotavljanjem skladnosti, zlasti zahteve za kontrolne organe, ki revidirajo in certificirajo sisteme upravljanja.

Poleg tega standard ISO/IEC 27006 opredeljuje stroge zahteve, ki jih morajo izpolnjevati certifikacijski organi, da lahko certificirajo sistem ISMS v skladu s standardom ISO 27001.

Te zahteve vključujejo:

  • dokazila o določenem revizijskem naporu
  • zahteve za usposobljenost presojevalcev.

DQS je akreditiran pri nacionalnem nemškem akreditacijskem organu DakkS (Deutsche Akkreditierungsstelle GmbH) in je zato pooblaščen za izvajanje presoj in certificiranja v skladu s standardom ISO 27001.

Ne glede na panogo, v kateri deluje vaše podjetje, se lahko zanesete na posebno strokovno znanje in izkušnje presojevalcev DQS. Imajo dolgoletne izkušnje z ocenjevanjem sistemov upravljanja informacijske varnosti v različnih panogah.

Pokaži več
Pokaži manj
Business28.png

Kako poteka certificiranje po standardu ISO 27001?

Ko so izvedene vse zahteve standarda ISO 27001, lahko svoj sistem upravljanja certificirate. Pri DQS boste opravili večstopenjski postopek certificiranja. Če je v podjetju že vzpostavljen certificiran sistem vodenja, se lahko postopek skrajša.

V prvi fazi se z nami pogovorite o svojem podjetju in ciljih certificiranja po standardu ISO 27001. Na podlagi tega boste prejeli podrobno ponudbo, prilagojeno individualnim potrebam vašega podjetja.

Sestanek za načrtovanje projekta je lahko koristen pri večjih projektih, na primer za boljše usklajevanje urnikov in izvajanje presoj z več lokacijami ali oddelki. Predrevizija vam ponuja priložnost, da vnaprej ugotovite prednosti in možnosti za izboljšanje vašega sistema vodenja. Obe storitvi sta neobvezni.

Certifikacijska presoja se začne s sistemsko analizo in oceno vašega sistema ISMS (faza 1 presoje). Pri tem revizor ugotovi, ali je vaš sistem vodenja dovolj razvit in pripravljen za certificiranje. V naslednjem koraku (2. stopnja presoje sistema) vaš presojevalec oceni učinkovitost vseh procesov upravljanja na lokaciji z uporabo standarda ISO 27001. Rezultat presoje je predstavljen na zaključnem sestanku. Po potrebi se dogovorimo o akcijskih načrtih.

Po certifikacijski presoji rezultate oceni neodvisna certifikacijska komisija DQS. Če so izpolnjene vse zahteve standarda, prejmete certifikat ISO 27001.

Po uspešnem certificiranju se ključne sestavine vašega sistema ISMS vsaj enkrat letno ponovno preverijo na kraju samem, da se zagotovijo stalne izboljšave.

Certifikat ISO 27001 velja največ tri leta. Ponovna certifikacija se opravi pravočasno pred iztekom veljavnosti, da se zagotovi stalna skladnost z veljavnimi zahtevami standarda. Ob izpolnjevanju zahtev se izda nov certifikat.

Banking13.png

Koliko stane certificiranje ISO 27001?

Štiri merila za ocenjevanje

Čeprav je treba presojo ISO 27001 opraviti v skladu s strukturiranimi specifikacijami, so stroški odvisni od različnih dejavnikov, kot je zapletenost vaše organizacije. Zato za nobeno podjetje ne more biti enotne ponudbe, ki bi ustrezala vsem.

Stroški certificiranja v skladu s standardom ISO 27001 so med drugim določeni na podlagi naslednjih štirih meril:

1. Kompleksnost vašega sistema upravljanja informacijske varnosti.

Upoštevajo se kritične vrednote (na primer patenti, osebni podatki, objekti, procesi) vašega podjetja. Stroški certificiranja temeljijo predvsem na zahtevah informacijske varnosti in obsegu vpliva na zaupnost, celovitost in razpoložljivost (VIV) informacij.

2. Osnovna dejavnost vašega podjetja v okviru sistema ISMS

Na tej točki imajo pri določanju potrebnega revizijskega napora pomembno vlogo zlasti tveganja, povezana z vašimi poslovnimi procesi. Upoštevajo se zakonske zahteve ter kompleksne, individualne zahteve strank.

3. Glavne tehnologije in komponente, ki se uporabljajo v vašem sistemu ISMS

Med revizijo se pregledajo tako tehnologija kot tudi posamezne komponente vašega sistema ISMS. Te vključujejo platforme IT, strežnike, zbirke podatkov, aplikacije in tudi omrežne segmente. Pri tem velja osnovno pravilo: Večji kot je delež standardnih sistemov in manjša kompleksnost vaše IT, manjši je napor. Od tega so odvisni tudi stroški certificiranja ISO 27001.

4 Delež lastnega razvoja v vašem sistemu ISMS

Če notranjega razvoja ni in večinoma uporabljate standardizirane programske platforme, je napor pri ocenjevanju manjši. Če je za vaš sistem ISMS značilna intenzivna uporaba lastne programske opreme in če se ta programska oprema uporablja za osrednja poslovna področja, bo napor za certificiranje večji.

Da bi vam lahko pripravili pregled stroškov certificiranja sistema ISMS, potrebujemo vnaprej natančne informacije o vašem poslovnem modelu in področju uporabe. Tako vam lahko pripravimo ponudbo po meri.

Pokaži več
Pokaži manj
Business2.png

Kaj lahko pričakujete od nas

  • Več kot 35 let izkušenj na področju certificiranja sistemov vodenja in procesov
  • Izkušene presojevalce in strokovnjake iz panoge z dobrim tehničnim znanjem
  • Vpogled v vaše podjetje z dodano vrednostjo
  • Mednarodno priznani certifikati
  • Strokovno znanje in akreditacije za vse ustrezne standarde
  • Osebna in nemotena podpora naših strokovnjakov - na regionalni, nacionalni in mednarodni ravni
  • Individualne ponudbe s prilagodljivimi pogodbenimi pogoji in brez skritih stroškov
Contact-Europe-woman-shutterstock_1916704835.jpg

Zahtevajte ponudbo

Vaš lokalni kontakt

Z veseljem vam bomo pripravili individualno ponudbo za certificiranje vašega sistema ISMS po standardu ISO 27001.

Vaše povpraševanje

Vprašanja?

Tu smo za vas.
Pišite nam