Man and a woman with a laptop in a server room

Certifikácia ISO 27001

Váš dotaz


Bezpečnosť informácií so systémom

Téma "Bezpečnosť informácií" je pre spoločnosti v priebehu digitálnej transformácie čoraz naliehavejšia. Bez dostatočných bezpečnostných opatrení hrozí strata a krádež údajov hackermi, prerušenie činnosti v dôsledku útokov cez web alebo zneužitia údajov. Jednou z možností štruktúrovaného prístupu je systém riadenia bezpečnosti informácií (ISMS) podľa normy ISO 27001.

Preukázateľné zabezpečenie údajov a informácií

Bezpečnosť informácií ako súčasť podnikovej kultúry

Účinná implementácia procesu riadenia rizík

Neustále zlepšovanie úrovne zabezpečenia

Business10.png

Čo je to norma ISO 27001?

Norma ISO/IEC 27001 je poprednou medzinárodnou normou na zavedenie komplexného systému riadenia bezpečnosti informácií. Zameriava sa na identifikáciu, posudzovanie a riadenie rizík procesov spracovania informácií. Bezpečnosť dôverných informácií sa zdôrazňuje ako významný strategický prvok.

Informácie nás obklopujú všade a sú súčasťou každého procesu. Niekedy môžu byť nepodstatné, ale príliš často sú kritické a dôverné. Na to, aby ste mohli urobiť toto dôležité rozlíšenie pre vašu organizáciu, je potrebné klasifikovať informácie. Na tejto klasifikácii sú totiž založené ochranné opatrenia systému riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001.

Systém ISMS vytvára rámec na ochranu prevádzkových údajov a ich dôvernosti. Celosvetovo uznávaná norma zároveň zabezpečuje dostupnosť IT systémov zapojených do podnikových procesov. V tejto súvislosti vysiela certifikácia podľa normy ISO 27001 na trh silný signál: konkrétne nezávislé externé hodnotenie a potvrdenie účinnosti vášho ISMS.

Druhé vydanie normy ISO/IEC 27001 pochádza z roku 2013. Teraz bola táto medzinárodne uznávaná norma pre ISMS aktualizovaná a 25. októbra 2022 bola znovu publikovaná vo svojom treťom vydaní ako ISO/IEC 27001:2022. Revízia je nevyhnutným dôsledkom po tom, čo bola norma ISO/IEC 27002 ako vykonávací návod upravujúci prílohu A normy ISO 27001 komplexne revidovaná a uverejnená vo februári 2022.


Prechodné obdobie pre existujúce certifikáty ISO 27001 je tri roky od posledného dňa mesiaca zverejnenia novej normy ISO/IEC 27001:2022, čo znamená, že všetky certifikáty podľa normy ISO/IEC 27001:2013 musia byť prevedené na verziu ISO 27001 z roku 2022 do 31. októbra 2025, O novinkách aktualizácie normy ISO 27001 si môžete prečítať v našom článku "Nová norma ISO/IEC 27001:2022 - kľúčové zmeny".

 

Zobraziť viac
Zobraziť menej
SEO19.png

Pre koho je certifikácia podľa normy ISO 27001 vhodná?

Norma ISMS ISO 27001 platí na celom svete. Poskytuje spoločnostiam všetkých veľkostí a odvetví rámec na plánovanie, implementáciu a monitorovanie bezpečnosti informácií. Požiadavky sú uplatniteľné a platia pre súkromné a verejné spoločnosti, ako aj neziskové organizácie.

Napríklad v Nemecku musia spoločnosti, ktoré patria do sektora kritickej infraštruktúry (KRITIS) a prekračujú určitú hranicu, predložiť dôkazy o tom, ako zabezpečujú bezpečnosť svojich informácií. Medzi sektory KRITIS patria energetika, vodohospodárstvo, zdravotníctvo, financie a poisťovníctvo, potravinárstvo, doprava a doprava, informačné technológie a telekomunikácie. Príslušný dôkaz o implementácii možno poskytnúť prostredníctvom bezpečnostných auditov, testov alebo certifikátov. Na tento účel sa ako základ auditu môžu použiť buď uznávané normy, ako je ISO 27001, alebo alternatívne odvetvové bezpečnostné normy uznané nemeckým Spolkovým úradom pre informačnú bezpečnosť (BSI).

Zobraziť viac
Zobraziť menej
Business11.png

V čom je norma ISO 27001 užitočná pre moju spoločnosť?

Zavedenie systému ISMS podľa normy ISO/IEC 27001 je pre vašu spoločnosť strategickým rozhodnutím. Splnenie zámerne všeobecných požiadaviek normy musí odrážať konkrétnu situáciu spoločnosti. Zavedenie vo vašej spoločnosti závisí od potrieb a cieľov, bezpečnostných požiadaviek a organizačných procesov, ako aj od veľkosti a štruktúry spoločnosti.

V praxi je obzvlášť cenná príloha A normy ISO 27001, ktorá sa má používať v súvislosti s oddielom 6.1.3 na základe analýz rizík špecifických pre danú spoločnosť. Kontroly informačnej bezpečnosti uvedené v prílohe A sú priamo odvodené a zosúladené s opatreniami uvedenými v platnej norme ISO 27002, oddiely 5 až 8.


Predtým príloha A normy ISO/IEC 27001:2013 obsahovala celkovo 114 kontrolných mechanizmov na riešenie rizík informačnej bezpečnosti, ktoré boli rozdelené do 14 oddielov a 35 cieľov kontroly. V novej norme ISO/IEC 27001:2022-10 príloha A teraz obsahuje 93 kontrolných mechanizmov týkajúcich sa príslušných bezpečnostných aspektov, ktoré sú zaradené do 4 tematických oblastí.

Ukázalo sa, že dôsledné zosúladenie podnikových procesov s normou ISO 27001 vedie k mnohým výhodám:

  • Neustále zlepšovanie úrovne bezpečnosti
  • Zníženie existujúcich rizík
  • Dodržiavanie požiadaviek na súlad
  • Väčšia informovanosť zamestnancov
  • Zvýšená spokojnosť zákazníkov

Interné audity a preskúmania vedením za účasti vrcholového manažmentu sú internými pákami na dosiahnutie tohto cieľa.

Ďalšími pozitívnymi aspektmi je, že zainteresované strany, ako sú dozorné orgány, poisťovne, banky, partnerské spoločnosti, si vybudujú vyššiu úroveň dôvery vo vašu spoločnosť. Certifikovaný systém riadenia totiž signalizuje, že vaša organizácia sa zaoberá rizikami štruktúrovaným spôsobom a hlási sa k neustálemu zlepšovaniu (CIP), vďaka čomu je odolnejšia voči nežiaducim vplyvom.

Medzinárodnú normu ISO/IEC 27001 je možné zaviesť, prevádzkovať a certifikovať aj nezávisle od iných systémov manažérstva, ako sú ISO 9001 (manažérstvo kvality) alebo ISO 14001 (environmentálne manažérstvo).

 

Zobraziť viac
Zobraziť menej
Business36.png

Kto môže vykonávať certifikáciu podľa normy ISO 27001?

Na certifikáciu systému riadenia informačnej bezpečnosti musí byť príslušný certifikačný orgán sám akreditovaný podľa noriem ISO/IEC 17021 a ISO/IEC 27006. Norma ISO/IEC 17021 upravuje témy súvisiace s posudzovaním zhody, konkrétne požiadavky na kontrolné orgány, ktoré vykonávajú audit a certifikáciu systémov riadenia.

Okrem toho norma ISO/IEC 27006 definuje prísne požiadavky, ktoré musia certifikačné orgány splniť, aby mohli certifikovať ISMS podľa normy ISO 27001.

Medzi tieto požiadavky patria:

  • Dôkaz o špecifickom úsilí pri audite
  • Požiadavky na kvalifikáciu audítorov.

Spoločnosť DQS je akreditovaná národným nemeckým akreditačným orgánom DakkS (Deutsche Akkreditierungsstelle GmbH), a preto je oprávnená vykonávať audity a certifikácie podľa normy ISO 27001.

Bez ohľadu na odvetvie, v ktorom vaša spoločnosť pôsobí, sa môžete spoľahnúť na osobitnú odbornosť audítorov DQS. Majú dlhoročné skúsenosti s posudzovaním systémov riadenia informačnej bezpečnosti v rôznych odvetviach.

Zobraziť viac
Zobraziť menej
Business28.png

Ako prebieha certifikácia podľa normy ISO 27001?

Po implementácii všetkých požiadaviek normy ISO 27001 môžete svoj systém riadenia certifikovať. V spoločnosti DQS prejdete viacstupňovým certifikačným procesom. Ak je v spoločnosti už zavedený certifikovaný systém riadenia, proces sa môže skrátiť.

V prvom kroku s nami prediskutujete vašu spoločnosť a ciele certifikácie podľa normy ISO 27001. Na základe toho dostanete podrobnú ponuku prispôsobenú individuálnym potrebám vašej spoločnosti.

Stretnutie na plánovanie projektu môže byť užitočné pri väčších projektoch, napríklad na lepšiu koordináciu harmonogramov a vykonávania auditov s viacerými lokalitami alebo divíziami. Predaudit vám ponúka príležitosť vopred identifikovať silné stránky a potenciál na zlepšenie vášho systému riadenia. Obe služby sú voliteľné.

Certifikačný audit sa začína analýzou systému a hodnotením vášho ISMS (1. etapa auditu). Tu audítor určí, či je váš systém manažérstva dostatočne vyvinutý a pripravený na certifikáciu. V ďalšom kroku (2. etapa auditu systému) váš audítor posudzuje efektívnosť všetkých procesov riadenia na mieste, pričom uplatňuje normu ISO 27001. Výsledok auditu sa prezentuje na záverečnom stretnutí. V prípade potreby sa dohodnú akčné plány.

Po certifikačnom audite výsledky vyhodnotí nezávislá certifikačná komisia DQS. Ak sú splnené všetky požiadavky normy, získate certifikát ISO 27001.

Po úspešnej certifikácii sa kľúčové zložky vášho systému ISMS opakovane auditujú na mieste minimálne raz ročne, aby sa zabezpečilo neustále zlepšovanie.

Certifikát ISO 27001 je platný maximálne tri roky. Recertifikácia sa vykonáva v dostatočnom časovom predstihu pred uplynutím platnosti, aby sa zabezpečil trvalý súlad s platnými požiadavkami normy. Po dosiahnutí súladu sa vydá nový certifikát.

Banking13.png

Koľko stojí certifikácia podľa normy ISO 27001?

Štyri kritériá hodnotenia

Hoci sa audit podľa normy ISO 27001 má vykonať podľa štruktúrovaných špecifikácií, náklady závisia od rôznych faktorov, napríklad od zložitosti vašej organizácie. Preto nemôže existovať žiadna univerzálna ponuka pre danú spoločnosť.

Náklady na certifikáciu podľa normy ISO 27001 sa stanovujú okrem iného podľa nasledujúcich štyroch kritérií:

1. Zložitosť vášho systému riadenia bezpečnosti informácií.

Zohľadňujú sa kritické hodnoty (napríklad patenty, osobné údaje, zariadenia, procesy) vašej spoločnosti. Náklady na certifikáciu vychádzajú predovšetkým z požiadaviek na bezpečnosť informácií a z rozsahu, v akom sú ovplyvnené dôvernosť, integrita a dostupnosť (VIV) informácií.

2. Hlavná činnosť vašej spoločnosti v rámci rozsahu ISMS

V tomto bode zohrávajú dôležitú úlohu pri určovaní potrebného úsilia na audit najmä riziká spojené s vašimi obchodnými procesmi. Zohľadňujú sa právne požiadavky, ako aj komplexné, individuálne požiadavky zákazníkov.

3. Hlavné technológie a komponenty používané vo vašom ISMS

Počas auditu sa skúmajú technológie, ako aj jednotlivé komponenty vášho ISMS. Patria sem IT platformy, servery, databázy, aplikácie, ako aj sieťové segmenty. Platí tu základné pravidlo: Čím vyšší je podiel štandardných systémov a čím nižšia je zložitosť vašich IT, tým nižšia je náročnosť. Od toho závisia aj náklady na certifikáciu podľa normy ISO 27001.

4 Podiel vlastného vývoja vo vašom systéme ISMS

Ak nemáte žiadny interný vývoj a používate najmä štandardizované softvérové platformy, náročnosť posúdenia je nižšia. Ak sa váš systém ISMS vyznačuje intenzívnym používaním vlastného vývoja softvéru a ak sa tento softvér používa pre centrálne oblasti činnosti, úsilie na certifikáciu bude vyššie.

Aby sme vám mohli poskytnúť prehľad nákladov na certifikáciu ISMS, potrebujeme vopred presné informácie o vašom obchodnom modeli a oblasti použitia. Takto vám môžeme poskytnúť ponuku šitú na mieru.

Zobraziť viac
Zobraziť menej
Business2.png

Čo môžete od nás očakávať

  • Viac ako 35 rokov skúseností s certifikáciou systémov riadenia a procesov
  • Skúsení audítori a odborníci z odvetvia so silnými technickými znalosťami
  • Poznatky o vašej spoločnosti s pridanou hodnotou
  • Certifikáty s medzinárodnou akceptáciou
  • Odborné znalosti a akreditácie pre všetky relevantné normy
  • Osobná a plynulá podpora našich špecialistov - regionálna, národná a medzinárodná
  • Individuálne ponuky s flexibilnými zmluvnými podmienkami a bez skrytých nákladov

Žiadosť o cenovú ponuku

Váš miestny kontakt

"Radi vám poskytneme individuálnu ponuku na certifikáciu vášho systému ISMS podľa normy ISO 27001."

Ing. Pavol Plevják, riaditeľ DQS Slovakia, s.r.o.

Váš dotaz

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás