Aktuality

ISO/IEC 27001 – Príprava na certifikáciu. Certifikácia ISO/IEC 27001 – ako na to?

Norma ISO/IEC 27001 v najnovšom vydaní ISO/IEC 27001:2013 (ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015) je medzinárodný štandard, ktorý špecifikuje požiadavky na riadenie informačnej bezpečnosti v organizácii. Norma bola vyvinutá tak, aby spĺňala požiadavky na informačnú bezpečnosť pre všetky typy a veľkosti organizácií.

Systém je možné aplikovať a certifikovať do výrobných, obchodných, servisných, montážnych, zdravotných poradenských či vzdelávacích organizácií zo všetkých oblastí priemyslu a služieb.

Systém riadenia bezpečnosti informácií je jeden, rozdielne môţu byt výklady jednotlivých doporučení a postupy ako dosiahnuť stanovené ciele. Princípom celého ISMS je tzv. PDCA model (Demingov model).

Tento model zavádza kontinuálny systém riadenia bezpečnosti informácií v organizácii. Jednotlivé kroky Plan – Do – Check – Act (Plánuj – Vykonaj – Kontroluj – Pôsob) zaručujú, že zavedenie systému informačnej bezpečnosti nebude len jednorazovou aktivitou, ale systémom.

PDCA Model pre riadenie bezpečnosti informácii

Určenie rozsahu systému informačnej bezpečnosti

Určenie rozsahu je prvou fázou PDCA modelu, ktorého úlohou je definícia rozsahu, politiky a systematického prístupu k ohodnoteniu rizík. Ako na to?

V tejto fáze plánovania systému riadenia informačnej bezpečnosti je potrebné presvedčiť vedenie o týchto výhodách vysvetlením analýzy rizík a vytvorením obchodného prípadu zavedenia ISMS. Definícia rozsahu ISMS ukazuje, ktoré oddelenia, či systémy budú pokryté systémom riadenia informačnej bezpečnosti. Výstupom tejto definície je politika ISMS a dokument popisujúci konkrétny rozsah a dosah ISMS.

Identifikácia informačných aktív slúži pre vytvorenie zoznamu sietí, databáz, dátových entít, dokumentov, a pod.

Ako ďalej? Ako prebieha systém zavádzania systému manažmentu informačnej bezpečnosti podľa požiadaviek ISO 27001?

Proces získania uvedeného certifikátu môžeme rozdeliť na dve etapy.

V prvej etape je potrebné systém vybudovať, čo predstavuje vypracovanie dokumentácie a zavedenie systému do praxe. Práve táto etapa je z hľadiska dlhodobého fungovania systému mimoriadne dôležitá a preto sa obvykle realizuje v spolupráci s externými konzultantmi. 

V druhej etape nezávislý certifikačný orgán v rámci previerky overí plnenie požiadaviek normy ISO a rozhodne o udelení certifikátu.

Certifikát je platný tri roky a po tomto období sa musí obnoviť, pričom sa opäť preveruje plnenie požiadaviek normy. Počas trojročného obdobia navštevuje certifikačný orgán spoločnosť obvykle v ročných intervaloch a v rámci krátkych previerok opäť overuje funkčnosť systému.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.