27001

Certyfikacja SZBI wg ISO/IEC 27001.

Jeżeli osiągnąłeś już sprawność organizacyjną, masz zdefiniowane, wydajne i zinformatyzowane  procesy, przychodzi czas na ochronę tego co stanowi twój know-how. Często są to wiedza, informacje, dane, doświadczenie i inne aktywa. Warto wtedy zastanowić się nad uszczelnieniem firmy od strony teleinformatycznej, organizacyjnej i fizycznej. ISO/IEC 27001 to w dużej części standard, który pomoże Ci to osiągnąć  poprzez wdrożenie jego w praktyce. A Certyfikacja ISO 27001 jest zwieńczeniem tych prac, jednakże bardzo ważnym, bo pozwala utrzymywać kondycję systemu i legitymizować się nim w relacjach biznesowych. Patrzenie przez pryzmat bezpieczeństwa aktywów informacyjnych w Twoim biznesie oraz Twojego klienta pokazuje każdej ze stron i interesariuszom dojrzałość biznesową.

27001 iso

Rodzina norm serii ISO/IEC 27000.

Spójrz na rodzinę norm tej serii (opis uproszczony): ISO/IEC 27000 – Terminologia, ISO/IEC 27001 – Wymagania, ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji, ISO/IEC 27003 –  Przewodnik wdrożenia, ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena, ISO/IEC 27005 – Analiza ryzyka, ISO/IEC 27006 – Certyfikacja, ISO/IEC 27007 – Przewodnik audytowania SZBI, ISO/IEC 27008 – Ocena zabezpieczeń, ISO/IEC 27017 – Cloud computing, ISO/IEC 27018 – Bezpieczeństwo danych osobowych w chmurze, ISO/IEC 27035 – Zarządzanie incydentami, itd. To największa rodzina norm ISO. Naprawdę możesz na bazie tych standardów i swojej wiedzy zbudować efektywny SZBI – System Zarządzania Bezpieczeństwem Informacji. Część z tych norm została przetłumaczona na język polski – niestety niewielka, ale warto pozyskać je aby oswoić się z ich specyficznym językiem – zobacz link sklep PKN1 na dole artykułu. Pozostałe normy można pozyskać u źródła – ISO.org2. Jeżeli szukasz oszczędności przy zakupie norm w wersji angielskiej, to około 10-20% taniej możesz je pozyskać w Estońskim Centrum Standaryzacji3.

iso 27001

Normy z tego zakresu znacznie szybciej reagują na zmiany w otoczeniu biznesowym niż legislacja, czego przykładem może być także wprowadzenie zmian dotyczących zarządzaniem informacją o prywatności ujętej w normie ISO/IEC 27701. Szerzej na temat prywatności mówią normy z rodziny ISO/IEC 29100, z których dwie zostały przetłumaczone przez PKN. Są to ISO/IEC 29134 – Ocena skutków dla prywatności, oraz ISO/IEC 29151 – Praktyczne zasady ochrony informacji o identyfikowalnych osobach. Warto je wykorzystać przy opracowywaniu rozwiązań z zakresu RODO.

Dlaczego warto wdrożyć SZBI?
Dlaczego potrzebna jest certyfikacja ISO 27001?

Certyfikacja ISO 27001 – Usługa jest akredytowana certyfikacja i realizowana zgodnie z wymaganiami ISO/IEC 27006. Nikt jej nie podważy i wyróżni Cię w otoczeniu biznesowym.

Audyty realizujemy zespołem audytorów posiadających unikalne kompetencje w obszarze IT i systemów zarządzania (w tym CISA, CISM, CISSP, itd.), co daje Ci poczucie należytej jakości.

Bardzo dobrze rozumiemy kwestie RODO, które możemy ocenić także w ramach usługi Audyt RODO – zobacz stronę z tym związaną. Jest to więc ocena Twoich rozwiązań w tym aspekcie.

Każde wymaganie poparte jest dowodem obiektywnym. Wszystko w ujęciu przyczynowo-skutkowym.

Certyfikowany system ISO 27001 jest sprawdzeniem rozwiązań w obszarze bezpieczeństwa informacji w Twojej firmie. Jest jak kropka nad „i”, zwieńczeniem dokonanych zmian.

System ISO 27001 stanowi uwiarygodnienie Twoich usług, oraz ich bezpieczeństwa dla Klienta, itp.

cert iwo 27001

Tą listę argumentów można by ciągnąć jeszcze długo. Ale najważniejszym jest aby motywacja do jego wdrożenia była Twoją potrzebą, nie narzuconą z góry. Dlatego wdrożenie jako projekt wewnętrzny powinno być realizowane przez kompetentnych konsultantów, fachowców w branży. Presja rynku prędzej czy później sprowadzi system do certyfikatu na ścianie jeśli nie wniknie on w kulturę organizacyjną, będzie tylko zewnętrzną koniecznością. Certyfikacja ISO 27001 to pierwszy krok do zgodności z RODO oraz z ustawą o KSC (Cyberbezpieczeństwo). Certyfikacja ISO 27001/ISO 22301 to także potwierdzenie Twoich umiejętności odtworzenia działalności, testowania różnych scenariuszy dla SOC’ów, CSIRT’ów w ramach ustawy o KSC. Najlepszy sposób uwiarygodnienia swoich usług w obszarze KSC, realizowany jest zawsze poprzez własną certyfikację, ale akredytowaną – pamiętaj o tym. Certyfikat ISO 27001 będzie wizualizacją tego procesu i zwieńczeniem sukcesu, ale to za mało w biznesie – system musi działać, służyć i pomagać organizacji – tak jak w przypadku RODO.

ISO 27001 Certyfikacja

Trochę od kuchni. Na co zwrócić uwagę przy wdrożeniu.

Kluczowym elementem opisującym nasze zabezpieczenia jest załącznik A.1. w normie ISO/IEC 27001, na bazie którego tworzymy naszą deklarację stosowania. Przeanalizuj, przedyskutuj z Twoim działem IT zasadność jakichkolwiek wyłączeń, czyli wymagań nie mających zastosowania do Twojego biznesu. Dość często pojawiają się w tym temacie nieporozumienia skutkujące niezgodnościami już na 1 etapie certyfikacji. Innym elementem systemu, który warto odnieść do dobrych praktyk jest monitorowanie i pomiary. Tutaj zachęcamy Cię do sięgnięcia po normę ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena. Już sama nazwa wskazuje przeznaczenie tego przewodnika.

Warto też wspomnieć o analizie ryzyka i pewnym przekazie, który pozwala zrozumieć jej istotę. Czynniki ryzyka (ludzkie, losowe, techniczne, etc.) wykorzystując podatności aktywów tworzą zagrożenia. Najczęściej wykorzystywana metoda analizy ryzyka w ISMS’ie, oparta na ISO/IEC 27005 dla każdego Risk Managera ma jednak pewne niedoskonałości. Widać to bardziej, gdy zaczniemy myśleć w kierunku scenariuszy. Dlatego podejście to w naszych projektach wzmacniamy metodyką BowTie z wykorzystaniem narzędzi informatycznych CGE Risk Management Solutions. BowTieXP – analiza ryzyka, wzmocniona o AuditXP – audyty zabezpieczeń wypełniają wszystko to co jest potrzebne w audytowaniu SZBI.

Akredytacja i kompetencje. Certyfikacja ISO 27001 w QSCert.

Certyfikację ISO 27001, którą prowadzimy dla Ciebie realizujemy jako usługę akredytowaną pod akredytacją CIA, lub SNAS. Prowadzona jest ona przez audytorów posiadających unikalne kompetencje potwierdzone certyfikatami CISA, CISM, CISSP, DRM Manager, LA ISO 27001/22301, Risk Manager ISO 31000, i innymi. Stawiamy na jakość, stawiamy na wiedzę – to Twoje poczucie komfortu podczas wywiadu audytowego. Nie chcemy prowadzić certyfikacji wg przewodników (np. ISO 27017/18, ISO 27002), bo szanujemy każdy Twój grosz, bo jest to para certyfikacja, tanie oszustwo. Każdy fachowiec odczyta to negatywnie.

Dlatego w takich przypadkach zachęcamy Cię do dedykowanego standardu – np. CSA Star (Cloud Computing), który stosuje cywilizowany świat. Nie chodź na skróty, każdy znawca w przedmiocie rozumie para certyfikację, szkoda utracić potencjalne korzyści, zlecenia, dobre imię. Dodatkowym argumentem wyróżniającym naszą usługę jest akredytacja w zakresie eIDAS – wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym. Bezpieczeństwo informacji, ciągłość działania, RODO, Privacy, Cloud Computing to nasza domena.

Certyfikacja ISO 27001, to certyfikacja na miarę XXI wieku. A gdy rozwinie się ją o ISO 22301 – o ciągłość działania dajesz znak rynkowi o wiarygodności i wadze Twojego biznesu. Spróbuj i daj feedback rynkowi, że Twój certyfikat ISO 27001 stanowi gwarancję rzetelności i wiarygodności biznesowej. Myślenie tylko poprzez standardy obsługi i jakość dzisiaj już nie wystarcza aby funkcjonować na rynku. Trzeba chronić swój biznes, swoje aktywa.

Pobierz nasz flyer o certyfikacji ISO 27001.

Odnośniki:
1 http://sklep.pkn.pl/,
2 https://iso.org/,
3 https://www.evs.ee/,

Zapraszamy do współpracy, do kontaktu.
Zespół Centre of Excellence & QSCert

“Jedyną stałą rzeczą w życiu jet zmiana”

Peter F. Drucker

Przewiń do góry