Bezpečnosť informácií so systémom
Preukázateľné zabezpečenie údajov a informácií
Bezpečnosť informácií ako súčasť podnikovej kultúry
Účinná implementácia procesu riadenia rizík
Neustále zlepšovanie úrovne zabezpečenia
Čo je to norma ISO 27001?
Informácie nás obklopujú všade a sú súčasťou každého procesu. Niekedy môžu byť nepodstatné, ale príliš často sú kritické a dôverné. Na to, aby ste mohli urobiť toto dôležité rozlíšenie pre vašu organizáciu, je potrebné klasifikovať informácie. Na tejto klasifikácii sú totiž založené ochranné opatrenia systému riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001.
Systém ISMS vytvára rámec na ochranu prevádzkových údajov a ich dôvernosti. Celosvetovo uznávaná norma zároveň zabezpečuje dostupnosť IT systémov zapojených do podnikových procesov. V tejto súvislosti vysiela certifikácia podľa normy ISO 27001 na trh silný signál: konkrétne nezávislé externé hodnotenie a potvrdenie účinnosti vášho ISMS.
Druhé vydanie normy ISO/IEC 27001 pochádza z roku 2013. Teraz bola táto medzinárodne uznávaná norma pre ISMS aktualizovaná a 25. októbra 2022 bola znovu publikovaná vo svojom treťom vydaní ako ISO/IEC 27001:2022. Revízia je nevyhnutným dôsledkom po tom, čo bola norma ISO/IEC 27002 ako vykonávací návod upravujúci prílohu A normy ISO 27001 komplexne revidovaná a uverejnená vo februári 2022.
Prechodné obdobie pre existujúce certifikáty ISO 27001 je tri roky od posledného dňa mesiaca zverejnenia novej normy ISO/IEC 27001:2022, čo znamená, že všetky certifikáty podľa normy ISO/IEC 27001:2013 musia byť prevedené na verziu ISO 27001 z roku 2022 do 31. októbra 2025, O novinkách aktualizácie normy ISO 27001 si môžete prečítať v našom článku "Nová norma ISO/IEC 27001:2022 - kľúčové zmeny".
Pre koho je certifikácia podľa normy ISO 27001 vhodná?
Napríklad v Nemecku musia spoločnosti, ktoré patria do sektora kritickej infraštruktúry (KRITIS) a prekračujú určitú hranicu, predložiť dôkazy o tom, ako zabezpečujú bezpečnosť svojich informácií. Medzi sektory KRITIS patria energetika, vodohospodárstvo, zdravotníctvo, financie a poisťovníctvo, potravinárstvo, doprava a doprava, informačné technológie a telekomunikácie. Príslušný dôkaz o implementácii možno poskytnúť prostredníctvom bezpečnostných auditov, testov alebo certifikátov. Na tento účel sa ako základ auditu môžu použiť buď uznávané normy, ako je ISO 27001, alebo alternatívne odvetvové bezpečnostné normy uznané nemeckým Spolkovým úradom pre informačnú bezpečnosť (BSI).
V čom je norma ISO 27001 užitočná pre moju spoločnosť?
V praxi je obzvlášť cenná príloha A normy ISO 27001, ktorá sa má používať v súvislosti s oddielom 6.1.3 na základe analýz rizík špecifických pre danú spoločnosť. Kontroly informačnej bezpečnosti uvedené v prílohe A sú priamo odvodené a zosúladené s opatreniami uvedenými v platnej norme ISO 27002, oddiely 5 až 8.
Predtým príloha A normy ISO/IEC 27001:2013 obsahovala celkovo 114 kontrolných mechanizmov na riešenie rizík informačnej bezpečnosti, ktoré boli rozdelené do 14 oddielov a 35 cieľov kontroly. V novej norme ISO/IEC 27001:2022-10 príloha A teraz obsahuje 93 kontrolných mechanizmov týkajúcich sa príslušných bezpečnostných aspektov, ktoré sú zaradené do 4 tematických oblastí.
Ukázalo sa, že dôsledné zosúladenie podnikových procesov s normou ISO 27001 vedie k mnohým výhodám:
- Neustále zlepšovanie úrovne bezpečnosti
- Zníženie existujúcich rizík
- Dodržiavanie požiadaviek na súlad
- Väčšia informovanosť zamestnancov
- Zvýšená spokojnosť zákazníkov
Interné audity a preskúmania vedením za účasti vrcholového manažmentu sú internými pákami na dosiahnutie tohto cieľa.
Ďalšími pozitívnymi aspektmi je, že zainteresované strany, ako sú dozorné orgány, poisťovne, banky, partnerské spoločnosti, si vybudujú vyššiu úroveň dôvery vo vašu spoločnosť. Certifikovaný systém riadenia totiž signalizuje, že vaša organizácia sa zaoberá rizikami štruktúrovaným spôsobom a hlási sa k neustálemu zlepšovaniu (CIP), vďaka čomu je odolnejšia voči nežiaducim vplyvom.
Medzinárodnú normu ISO/IEC 27001 je možné zaviesť, prevádzkovať a certifikovať aj nezávisle od iných systémov manažérstva, ako sú ISO 9001 (manažérstvo kvality) alebo ISO 14001 (environmentálne manažérstvo).
Kto môže vykonávať certifikáciu podľa normy ISO 27001?
Okrem toho norma ISO/IEC 27006 definuje prísne požiadavky, ktoré musia certifikačné orgány splniť, aby mohli certifikovať ISMS podľa normy ISO 27001.
Medzi tieto požiadavky patria:
- Dôkaz o špecifickom úsilí pri audite
- Požiadavky na kvalifikáciu audítorov.
Spoločnosť DQS je akreditovaná národným nemeckým akreditačným orgánom DakkS (Deutsche Akkreditierungsstelle GmbH), a preto je oprávnená vykonávať audity a certifikácie podľa normy ISO 27001.
Bez ohľadu na odvetvie, v ktorom vaša spoločnosť pôsobí, sa môžete spoľahnúť na osobitnú odbornosť audítorov DQS. Majú dlhoročné skúsenosti s posudzovaním systémov riadenia informačnej bezpečnosti v rôznych odvetviach.
Ako prebieha certifikácia podľa normy ISO 27001?
Po implementácii všetkých požiadaviek normy ISO 27001 môžete svoj systém riadenia certifikovať. V spoločnosti DQS prejdete viacstupňovým certifikačným procesom. Ak je v spoločnosti už zavedený certifikovaný systém riadenia, proces sa môže skrátiť.
V prvom kroku s nami prediskutujete vašu spoločnosť a ciele certifikácie podľa normy ISO 27001. Na základe toho dostanete podrobnú ponuku prispôsobenú individuálnym potrebám vašej spoločnosti.
Stretnutie na plánovanie projektu môže byť užitočné pri väčších projektoch, napríklad na lepšiu koordináciu harmonogramov a vykonávania auditov s viacerými lokalitami alebo divíziami. Predaudit vám ponúka príležitosť vopred identifikovať silné stránky a potenciál na zlepšenie vášho systému riadenia. Obe služby sú voliteľné.
Certifikačný audit sa začína analýzou systému a hodnotením vášho ISMS (1. etapa auditu). Tu audítor určí, či je váš systém manažérstva dostatočne vyvinutý a pripravený na certifikáciu. V ďalšom kroku (2. etapa auditu systému) váš audítor posudzuje efektívnosť všetkých procesov riadenia na mieste, pričom uplatňuje normu ISO 27001. Výsledok auditu sa prezentuje na záverečnom stretnutí. V prípade potreby sa dohodnú akčné plány.
Po certifikačnom audite výsledky vyhodnotí nezávislá certifikačná komisia DQS. Ak sú splnené všetky požiadavky normy, získate certifikát ISO 27001.
Po úspešnej certifikácii sa kľúčové zložky vášho systému ISMS opakovane auditujú na mieste minimálne raz ročne, aby sa zabezpečilo neustále zlepšovanie.
Certifikát ISO 27001 je platný maximálne tri roky. Recertifikácia sa vykonáva v dostatočnom časovom predstihu pred uplynutím platnosti, aby sa zabezpečil trvalý súlad s platnými požiadavkami normy. Po dosiahnutí súladu sa vydá nový certifikát.
Koľko stojí certifikácia podľa normy ISO 27001?
Náklady na certifikáciu podľa normy ISO 27001 sa stanovujú okrem iného podľa nasledujúcich štyroch kritérií:
1. Zložitosť vášho systému riadenia bezpečnosti informácií.
Zohľadňujú sa kritické hodnoty (napríklad patenty, osobné údaje, zariadenia, procesy) vašej spoločnosti. Náklady na certifikáciu vychádzajú predovšetkým z požiadaviek na bezpečnosť informácií a z rozsahu, v akom sú ovplyvnené dôvernosť, integrita a dostupnosť (VIV) informácií.
2. Hlavná činnosť vašej spoločnosti v rámci rozsahu ISMS
V tomto bode zohrávajú dôležitú úlohu pri určovaní potrebného úsilia na audit najmä riziká spojené s vašimi obchodnými procesmi. Zohľadňujú sa právne požiadavky, ako aj komplexné, individuálne požiadavky zákazníkov.
3. Hlavné technológie a komponenty používané vo vašom ISMS
Počas auditu sa skúmajú technológie, ako aj jednotlivé komponenty vášho ISMS. Patria sem IT platformy, servery, databázy, aplikácie, ako aj sieťové segmenty. Platí tu základné pravidlo: Čím vyšší je podiel štandardných systémov a čím nižšia je zložitosť vašich IT, tým nižšia je náročnosť. Od toho závisia aj náklady na certifikáciu podľa normy ISO 27001.
4 Podiel vlastného vývoja vo vašom systéme ISMS
Ak nemáte žiadny interný vývoj a používate najmä štandardizované softvérové platformy, náročnosť posúdenia je nižšia. Ak sa váš systém ISMS vyznačuje intenzívnym používaním vlastného vývoja softvéru a ak sa tento softvér používa pre centrálne oblasti činnosti, úsilie na certifikáciu bude vyššie.
Aby sme vám mohli poskytnúť prehľad nákladov na certifikáciu ISMS, potrebujeme vopred presné informácie o vašom obchodnom modeli a oblasti použitia. Takto vám môžeme poskytnúť ponuku šitú na mieru.