Bezpieczeństwo informacji dzięki systemowi

Temat "Bezpieczeństwa informacji" staje się coraz bardziej palący dla firm w trakcie transformacji cyfrowej. Bez wystarczających środków ostrożności istnieje ryzyko utraty danych i ich kradzieży przez hakerów, przerwania działalności z powodu ataków w sieci lub niewłaściwego wykorzystania danych. Jedną z opcji ustrukturyzowanego podejścia jest system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO 27001.

Udowodnione bezpieczeństwo danych i informacji

Bezpieczeństwo jako część kultury korporacyjnej

Skuteczne wdrożenie procesu zarządzania ryzykiem

Ciągłe doskonalenie poziomu bezpieczeństwa

Business10.png
Loading...

Co to jest ISO 27001?

ISO/IEC 27001 jest wiodącą międzynarodową normą dotyczącą wdrażania holistycznego systemu zarządzania bezpieczeństwem informacji. Skupia się ona na identyfikacji, ocenie i zarządzaniu ryzykiem w procesach przetwarzania informacji. Bezpieczeństwo poufnych informacji jest podkreślane jako istotny element strategiczny.

Informacja otacza nas wszędzie i jest częścią każdego procesu. Czasami może być nieistotna, ale zbyt często jest krytyczna i poufna. Aby dokonać tego ważnego dla Państwa organizacji rozróżnienia, konieczne jest sklasyfikowanie informacji. Na tej klasyfikacji opierają się bowiem środki ochronne Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnie z normą ISO/IEC 27001.

ISMS tworzy ramy dla ochrony danych operacyjnych i ich poufności. Jednocześnie, ta uznana na całym świecie norma zapewnia dostępność systemów IT zaangażowanych w procesy korporacyjne. W tym kontekście, certyfikacja ISO 27001 stanowi silny sygnał dla rynku: niezależna zewnętrzna ocena i potwierdzenie skuteczności Państwa ISMS.

Wraz z EN ISO/IEC 27001:2017-06 opublikowana została wersja koordynowana przez Europejski Komitet Normalizacyjny (CEN). Łączy ona w sobie dwie korekty (corrigendy) Cor 1:2014 i Cor 2:2015. Zmiany związane z korektą obejmują jedynie poprawiony opis związanych z nią wymagań, nie ma natomiast nowych, dodatkowych wymagań. Certyfikaty zgodne z wersją ISO/IEC 27001:2013 zachowują więc swoją ważność.

Pokaż więcej
Pokaż mniej
SEO19.png
Loading...

Dla kogo jest odpowiednia certyfikacja wg ISO 27001?

Norma ISMS ISO 27001 ma zastosowanie na całym świecie. Zapewnia ona firmom każdej wielkości i z każdej branży ramy do planowania, wdrażania i monitorowania bezpieczeństwa informacji. Wymagania mają zastosowanie w firmach prywatnych i publicznych, a także w organizacjach non-profit.

Na przykład w Niemczech firmy, które należą do sektora infrastruktury krytycznej (KRITIS) i przekraczają określony próg, muszą przedstawić dowody na to, w jaki sposób zapewniają bezpieczeństwo informacji. Do sektorów KRITIS należą: energia, woda, zdrowie, finanse i ubezpieczenia, żywność, transport i ruch drogowy, technologie informacyjne i telekomunikacja. Odpowiedni dowód wdrożenia może być dostarczony przez audyty bezpieczeństwa, testy lub certyfikaty. W tym celu, jako podstawę audytu można wykorzystać uznane standardy, takie jak ISO 27001 lub alternatywnie, branżowe standardy bezpieczeństwa uznane przez niemiecki Federalny Urząd Bezpieczeństwa Informacji (BSI).

Pokaż więcej
Pokaż mniej
Business11.png
Loading...

Co sprawia, że norma ISO 27001 jest przydatna dla mojej firmy?

Wprowadzenie systemu ISMS zgodnego z normą ISO/IEC 27001 jest strategiczną decyzją dla Państwa firmy. Spełnienie celowo ogólnych wymagań normy musi odzwierciedlać specyficzną sytuację firmy. Wdrożenie w firmie zależy od potrzeb i celów, wymagań bezpieczeństwa i procesów organizacyjnych, a także od wielkości i struktury firmy.

Szczególnie cenne dla praktyki jest wdrożenie środków zawartych w załączniku A do normy. Oprócz części zawierającej wymagania dotyczące systemu zarządzania (rozdziały od 4 do 10), norma ISO zawiera obszerną listę 35 celów działań (kontroli) ze 114 konkretnymi działaniami dotyczącymi wielu różnych aspektów bezpieczeństwa w 14 rozdziałach załącznika A. Działania te muszą być wdrożone w ramach systemu zarządzania. Środki te muszą być wdrożone jako część systemu zarządzania, o ile są one istotne dla Państwa firmy.

Udowodniono, że konsekwentne dostosowanie procesów firmowych do ISO 27001 prowadzi do wielu korzyści:

  • Ciągłej poprawy poziomu bezpieczeństwa
  • Redukcja istniejącego ryzyka
  • Przestrzeganie wymagań zgodności
  • Większa świadomość wśród pracowników
  • Zwiększona satysfakcja klienta

Wewnętrzne audyty i przeglądy zarządzania z udziałem najwyższego kierownictwa są wewnętrznymi dźwigniami do osiągnięcia tego celu.

Innym pozytywnym aspektem jest to, że zainteresowane strony, takie jak urzędy nadzoru, firmy ubezpieczeniowe, banki, firmy partnerskie budują wyższy poziom zaufania do Państwa firmy. Dzieje się tak dlatego, że certyfikowany system zarządzania sygnalizuje, że Państwa organizacja zajmuje się ryzykiem w sposób zorganizowany i bierze udział w ciągłym doskonaleniu (CIP), co czyni ją bardziej odporną na niepożądane wpływy.

Międzynarodowa norma ISO/IEC 27001 może być również wdrażana, obsługiwana i certyfikowana niezależnie od innych systemów zarządzania, takich jak ISO 9001 (zarządzanie jakością) lub ISO 14001 (zarządzanie środowiskowe).

Pokaż więcej
Pokaż mniej
Business36.png
Loading...

Kto jest uprawniony do przeprowadzania certyfikacji zgodnie z normą ISO 27001?

Aby certyfikować system zarządzania bezpieczeństwem informacji, odpowiednia jednostka certyfikująca musi posiadać akredytację ISO/IEC 17021 i ISO/IEC 27006. Norma ISO/IEC 17021 reguluje tematy związane z oceną zgodności, a w szczególności wymagania dla jednostek kontrolnych, które audytują i certyfikują systemy zarządzania.

Ponadto norma ISO/IEC 27006 definiuje ścisłe wymagania, które muszą być spełnione przez jednostki certyfikujące w celu certyfikacji ISMS zgodnie z ISO 27001.

Obejmują one:

  • Dowody określonego wysiłku związanego z audytem.
  • Wymagania dotyczące kwalifikacji audytorów.

DQS posiada akredytację niemieckiej jednostki akredytacyjnej DakkS (Deutsche Akkreditierungsstelle GmbH) i dlatego jest upoważniona do przeprowadzania audytów i certyfikacji zgodnie z ISO 27001.

Niezależnie od branży, w której działa Państwa firma, mogą Państwo polegać na wyróżniającej się ekspertyzie audytorów DQS. Posiadają oni wieloletnie doświadczenie w ocenie systemów zarządzania bezpieczeństwem informacji w różnych branżach.

Pokaż więcej
Pokaż mniej
Business28.png
Loading...

Jak przebiega proces certyfikacji ISO 27001?

Po wdrożeniu wszystkich wymagań normy ISO 27001, system zarządzania może zostać poddany certyfikacji. W DQS przejdą Państwo przez wieloetapowy proces certyfikacji. Jeśli w firmie funkcjonuje już certyfikowany system zarządzania, proces ten może zostać skrócony.

W pierwszym etapie omawiamy z Państwem Państwa firmę i cele certyfikacji ISO 27001. Na tej podstawie otrzymają Państwo szczegółową ofertę dostosowaną do indywidualnych potrzeb Państwa firmy.

Spotkanie dotyczące planowania projektu może być przydatne w przypadku większych projektów, na przykład w celu lepszej koordynacji harmonogramów i przeprowadzania audytów w wielu lokalizacjach lub oddziałach. Audyt wstępny daje możliwość wcześniejszego określenia mocnych stron i potencjału doskonalenia systemu zarządzania. Obie usługi są opcjonalne.

Audyt certyfikacyjny rozpoczyna się od analizy i oceny systemu ISMS (etap 1 audytu). Tutaj audytor określa, czy system zarządzania jest wystarczająco rozwinięty i gotowy do certyfikacji. W kolejnym kroku (etap audytu systemu 2) audytor ocenia skuteczność wszystkich procesów zarządzania w zakładzie, stosując normę ISO 27001. Wynik audytu jest przedstawiany na spotkaniu końcowym. W razie potrzeby uzgadniane są plany działań.

Po zakończeniu audytu certyfikacyjnego, wyniki są oceniane przez niezależną komisję certyfikacyjną DQS. Jeśli wszystkie wymagania normy zostały spełnione, otrzymują Państwo certyfikat ISO 27001.

Po pomyślnej certyfikacji kluczowe elementy systemu ISMS są ponownie audytowane na miejscu, co najmniej raz w roku, w celu zapewnienia ciągłego doskonalenia.

Certyfikat ISO 27001 jest ważny maksymalnie przez trzy lata. Recertyfikacja jest przeprowadzana w odpowiednim czasie przed wygaśnięciem certyfikatu, aby zapewnić ciągłą zgodność z wymaganiami normy. Po uzyskaniu zgodności wydawany jest nowy certyfikat.

Banking13.png
Loading...

Ile kosztuje certyfikacja ISO 27001?

Cztery kryteria oceny

Mimo że audyt ISO 27001 ma być przeprowadzony zgodnie z ustrukturyzowaną specyfikacją, jego koszt zależy od różnych czynników, takich jak złożoność organizacji. Dlatego też nie ma jednej, uniwersalnej oferty dla każdej firmy.

Koszty certyfikacji zgodnie z ISO 27001 są ustalane między innymi na podstawie następujących czterech kryteriów:

1. Złożoność systemu zarządzania bezpieczeństwem informacji.

Pod uwagę brane są wartości krytyczne (np. patenty, dane osobowe, obiekty, procesy) Państwa firmy. Koszt certyfikacji opiera się przede wszystkim na wymaganiach dotyczących bezpieczeństwa informacji oraz na stopniu wpływu na poufność, integralność i dostępność (VIV) informacji.

2. Podstawowa działalność Państwa firmy w zakresie ISMS

W tym punkcie ryzyka związane z Państwa procesami biznesowymi odgrywają ważną rolę w określeniu koniecznych działań audytowych. Pod uwagę brane są zarówno wymagania prawne, jak i złożone, indywidualne wymagania klientów.

3. Główne technologie i komponenty wykorzystywane w Państwa ISMS

Podczas audytu badana jest zarówno technologia, jak i poszczególne komponenty Państwa ISMS. Należą do nich platformy IT, serwery, bazy danych, aplikacje oraz segmenty sieci. Podstawową zasadą jest tutaj: Im wyższy udział systemów standardowych i im mniejsza złożoność Państwa IT, tym niższy nakład pracy. Od tego zależą również koszty certyfikacji ISO 27001.

4 Proporcja rozwoju wewnętrznego w Państwa systemie ISMS

Jeśli nie ma rozwoju wewnętrznego i korzystasz głównie ze standardowych platform oprogramowania, nakład pracy związany z oceną jest niższy. Jeśli Państwa system ISMS charakteryzuje się intensywnym wykorzystaniem oprogramowania własnego autorstwa i jeśli oprogramowanie to jest wykorzystywane w centralnych obszarach działalności, nakład pracy związany z certyfikacją będzie wyższy.

Abyśmy mogli przedstawić Państwu koszty certyfikacji ISMS, potrzebujemy dokładnych informacji na temat Państwa modelu biznesowego i obszaru zastosowania. W ten sposób będziemy mogli przedstawić Państwu ofertę dostosowaną do Państwa potrzeb.

Pokaż więcej
Pokaż mniej
Business2.png
Loading...

Czego mogą Państwo od nas oczekiwać

  • Ponad 35 lat doświadczenia w certyfikacji systemów zarządzania i procesów
  • Doświadczeni w branży audytorzy i eksperci z dużą wiedzą techniczną
  • Wartościowy wgląd w Państwa firmę
  • Certyfikaty z międzynarodową akceptacją
  • Ekspertyzy i akredytacje dla wszystkich istotnych norm
  • Osobiste, bezproblemowe wsparcie naszych specjalistów - na poziomie regionalnym, krajowym i międzynarodowym
  • Indywidualne oferty z elastycznymi warunkami umowy i bez ukrytych kosztów
Contact-Europe-man-shutterstock_1699506301.jpg
Loading...

Zapytaj o ofertę

Biuro DQS Polska

Chętnie przedstawimy Państwu indywidualną ofertę na certyfikację ISO 27001 Państwa systemu ISMS.

Nowa norma ISO/IEC 27001:2022 - kluczowe zmiany

W tym wpisie na blogu DQS znajdziesz najważniejsze informacje o kluczowych zmianach i uzupełnieniach w zaktualizowanej normie ISO 27001:2022.

Zobacz post na blogu