Certifikát ISO 27001. Načo si dať pozor a na čo sa sústrediť pri implementácii systému informačnej bezpečnosti podľa ISO/IEC 27001?

Norma ISO/IEC 27001 je medzinárodnou normou pre riadenie bezpečnosti informácií. Je zameraná na zabezpečenie ochrany informácií v organizácii, a to pomocou vytvorenia a udržiavania riadeného prostredia bezpečnosti informácií.

Norme ISO/IEC 27001 sa často ľudovo hovorí „norma ISO 27001“ a certifikátu podľa tejto normy len jednoducho „certifikát ISO 27001“. Norma ISO/IEC sa v poslednom období medzi používateľmi tak popularizovala, že v praxi sa často medzi manažérmi kvality uvšeobecňuje používanie len krátkeho zjednodušeného názvu normy ISO 27001.

Norma ISO/IEC 27001 definuje požiadavky na riadenie bezpečnosti informácií, ako je napríklad riadenie rizík, riadenie incidentov a dodržiavanie zákonov a regulácií. Cieľom je zabezpečiť, aby boli informácie v organizácii chránené pred rizikami, ako je napríklad strata, zlé použitie, poškodenie alebo zneužitie.

Kedy bola norma ISO/IEC 27001 prvýkrát vydaná? Certifikát ISO 27001 – aké sú základné požiadavky?

ISO 27001 bol prvýkrát vydaný v roku 2005, ale história tohto štandardu siaha až do začiatku 90. rokov. V tom čase bol vydaný štandard BS 7799, ktorý bol zameraný na riadenie bezpečnosti informácií v britských organizáciách. BS 7799 bol neskôr medzinárodne uznaný a premenený na medzinárodnú normu ISO 27001.

V roku 2000 bolo vydané prvé vydanie ISO 27001, ktoré definovalo základné požiadavky na riadenie bezpečnosti informácií. Od svojho vydania sa ISO 27001 stalo jedným z najpopulárnejších štandardov pre riadenie bezpečnosti informácií a je široko používaný v organizáciách po celom svete.

Norma STN EN ISO/IEC 27001 Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Požiadavky (ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015) (Norma je identická s STN ISO/IEC 27001 zo septembra 2014) špecifikuje požiadavky na vytvorenie, zavedenie, údržbu a stále zlepšovanie systému riadenia informačnej bezpečnosti v kontexte organizácie.

Norma ISO/IEC 27001obsahuje aj požiadavky na posúdenie a ošetrenie rizík informačnej bezpečnosti prispôsobených potrebám organizácie. Požiadavky vymedzené v tejto medzinárodnej norme sú všeobecné a sú určené pre všetky organizácie bez rozdielu typu, veľkosti alebo pôvodu.

Nesplnenie niektorej z požiadaviek vymenovaných v kapitolách 4 až 10 nie je akceptovateľné, ak organizácia konštatuje dosiahnutie zhody s touto medzinárodnou normou. Norma ISO/IEC 27001 je založená na PDCA cykle.

Mnoho organizácií sa rozhodlo získať certifikát ISO 27001, aby preukázali, že majú riadený proces na ochranu a správu informácií a že sú schopné spĺňať stále sa zvyšujúce požiadavky na ich bezpečnosť.

Vo všeobecnosti sa dá povedať, že implementácia systému informačnej bezpečnosti podľa požiadaviek ISO/IEC 27001 vyžaduje nasledovné kroky:

• inventarizácia aktív a rizík: Je potrebné identifikovať všetky aktíva, ktoré treba chrániť a stanoviť riziká, ktorým sú vystavené,
• definícia politík a postupov: Je potrebné vytvoriť a schváliť politiky a postupy pre informačnú bezpečnosť, ktoré budú v systéme implementované (napr. politiku čistého stola, politiku vypnutej obrazovky, atď),
• implementácia kontrol: Je potrebné implementovať kontrolné mechanizmy, ako sú firewally, šifrovacie nástroje, autentifikačné a autorizačné systémy a podobne,
• overovanie a zlepšovanie: Je potrebné pravidelne overovať fungovanie systému a prijímať opatrenia na zlepšenie.

Na čo si dať pozor pri implementácii požiadaviek systému informačnej bezpečnosti podľa požiadaviek normy ISO/IEC 27001?

Pri implementácii systému informačnej bezpečnosti podľa normy ISO 27001 je potrebné dať pozor aj na:

1. zabezpečenie dôvernosti a integrity dát: Je potrebné zabezpečiť, aby boli dáta uchovávané v bezpečí a aby sa zabránilo neoprávnenému prístupu alebo zmene,
2. zabezpečenie dostupnosti dát: Je potrebné zabezpečiť, aby boli dáta k dispozícii v prípade potreby,
3. ochranu proti neoprávnenému prístupu: Je potrebné zabezpečiť, aby sa zabránilo neoprávnenému prístupu k dátam a systému,
4. overovanie externých dodávateľov: Je potrebné overovať dodávateľov, ktorí pristupujú k dátam alebo systému,
5. zabezpečenie dôveryhodnosti zamestnancov: Je potrebné zabezpečiť, aby zamestnanci boli vybraní a schválení na základe ich dôveryhodnosti,
6. a spracovanie správnej dokumentácie a evidencii v zmysle požiadaviek normy ISO 27001 a jej prílohy A (ANNEX A normy ISO 27001): je potrebné viesť dokumentáciu a evidencie, aby sa zabezpečilo, že systém informačnej bezpečnosti funguje správne, efektívne a v zmysle požiadaviek normy ISO 27001.

Načo nezabudnúť pri implementácii požiadaviek normy ISO/IEC 27001?

Pri implementácii ISO/IEC 27001 si manažér informačnej bezpečnosti vždy kladie stále tú istú otázku. Načo nezabudnúť pri implementácii požiadaviek normy ISO/IEC 27001? Aké sú jednotlivé požiadavky a ako ich naplniť?

Pozrime sa na to lupou normy ISO/IEC 27001 na tie najdôležitejšie, bod po bode…

1. Riadenie informačnej bezpečnosti: Požiadavka na riadenie informačnej bezpečnosti vyžaduje od organizácie, aby zaviedla formálne riadenie bezpečnosti informácií, vrátane vymedzenia zodpovednosti, autorizácie, komunikácie a zlepšovania.
2. Politika informačnej bezpečnosti: Organizácia musí vytvoriť a implementovať politiku informačnej bezpečnosti, ktorá definuje jej ciele a záväzky v oblasti bezpečnosti informácií.
3. Plánovanie: Organizácia musí plánovať svoje opatrenia na zabezpečenie informačnej bezpečnosti vrátane identifikácie rizík, hodnotenia rizík a výberu opatrení.
4. Zabezpečenie aktív: Organizácia musí zabezpečiť všetky aktíva týkajúce sa informačnej bezpečnosti, vrátane zabezpečenia informačných systémov, zariadení a sieťových zdrojov.
5. Kontrola prístupu: Organizácia musí zabezpečiť, aby prístup k informáciám bol kontrolovaný a regulovaný.
6. Šifrovanie: Organizácia musí používať šifrovanie pre ochranu citlivých informácií.
7. Kontrola únikov informácií: Organizácia musí implementovať opatrenia na kontrolu únikov informácií.
8. Kontrola zmeny: Organizácia musí implementovať procesy na kontrolu zmien v informačných systémoch a aktívach.
9. Správa incidentov: Organizácia musí implementovať procesy na správu incidentov vrátane identifikácie, hodnotenia a riešenia incidentov.
10. Monitoring a vyhodnocovanie: Organizácia musí monitorovať svoje opatrenia na zabezpečenie informačnej bezpečnosti a vyhodnocovať ich účinnosť
11. Riadenie zdrojov Požiadavky súvisiace s riadením zdrojov zahŕňajú potrebu určiť, prideliť a udržiavať dostatočné zdroje na implementáciu a udržanie systému informačnej bezpečnosti. Organizácie by mali tiež stanoviť povinnosti a zodpovednosti za informačnú bezpečnosť a zabezpečiť, aby boli dodržiavané.
12. Kontinuita poskytovania služieb Tento bod požaduje, aby organizácie identifikovali a analyzovali riziká ohrozenia kontinuity služieb a zabezpečili, že sú pripravené na krízové situácie, ako sú výpadky elektrickej energie, počítačové havárie a podobne.
13. Dodržiavanie zákonov a predpisov Organizácie by mali dodržiavať všetky relevantné zákony a predpisy týkajúce sa informačnej bezpečnosti.
14. Kontrola a revízie Tento bod požaduje, aby organizácie vykonávali pravidelné kontroly a revízie systému informačnej bezpečnosti, aby sa zabezpečilo, že systém funguje správne a dodržiavajú sa všetky požiadavky normy ISO 27001.
15. Management zodpovednosti Tento bod požaduje, aby vedúci pracovníci organizácie zodpovedali za informačnú bezpečnosť a zabezpečili, aby boli dodržiavané všetky požiadavky normy ISO 27001.

Pri tejto príležitosti však musíme podotknúť, že norma priamo hovorí, že nesplnenie niektorej z požiadaviek vymenovaných v kapitolách 4 až 10 nie je akceptovateľné, ak organizácia konštatuje dosiahnutie zhody s normou ISO/IEC 27001.

Okrem týchto bodov samozrejme norma ISO/IEC 27001 má aj iné požiadavky, ktorá ako firma musíte implementovať pri budovaní svojho systému informačnej bezpečnosti podľa požiadaviek tejto normy tak, aby ste na konci získali certifikát ISO 27001.

Ako získať certifikát ISO 27001? Ako prebieha certifikácia systému informačnej bezpečnosti podľa ISO/IEC 27001?

V prvej etape je potrebné systém informačnej bezpečnosti podľa ISO/IEC 27001 vybudovať, čo predstavuje vypracovanie dokumentácie a zavedenie systému do praxe. Práve táto etapa je z hľadiska dlhodobého fungovania systému mimoriadne dôležitá a preto sa obvykle realizuje v spolupráci s externými konzultantmi.  V druhej etape nezávislý certifikačný orgán v rámci previerky overí plnenie požiadaviek normy ISO/IEC 27001 a rozhodne o udelení certifikátu ISO/IEC 27001.

Certifikát ISO 27001 je platný tri roky a po tomto období sa musí obnoviť (tzv. recertifikácia), pričom sa opäť preveruje plnenie požiadaviek normy ISO/IEC 27001. Počas trojročného obdobia navštevuje certifikačný orgán spoločnosť obvykle v ročných intervaloch ( v zmysle zmluvy – jedná sa o tzv. certifikačný a 2 dozorné audity) a v rámci krátkych previerok opäť overuje funkčnosť systému. Ako na to v 7 bodoch:

1. Prijať rozhodnutie o certifikácii: systému informačnej bezpečnosti Organizácia sa musí rozhodnúť pre certifikáciu podľa požiadaviek normy ISO/IEC 27001 a stanoví svoje ciele a požiadavky na certifikáciu.
2. Analyzovať súčasný stav: Organizácia vykoná GAP analýzu – analýzu svojho súčasného stavu riadenia bezpečnosti informácií vs požiadavky ISO/IEC 27001
3. Implementovať požiadavky normy ISO/IEC 27001: Organizácia implementuje požiadavky ISO 27001, vrátane vytvorenia politík a štandardov, zavedenie procesov a pracovných postupov a vybudovanie infraštruktúry pre riadenie bezpečnosti informácií.
4. Interný audit: Organizácia vykoná interný audit, aby overila, že implementácia požiadaviek je správna a efektívna.
5. Certifikačný audit: Nezávislý certifikačný orgán vykoná certifikačný audit, kde overí, či organizácia spĺňa požiadavky ISO/IEC 27001.
6. Záverečné rozhodnutie: Certifikačný orgán vydá záverečné rozhodnutie o certifikácii a pridelí certifikát ISO/IEC 27001, ak je organizácia schopná splniť požiadavky normy ISO/IEC 27001
7. Neustále zlepšovanie a udržiavanie systému informačnej bezpečnosti: Po obdržaní certifikátu ISO/IEC 27001 je nutné vykonávať pravidelnú „údržbu“ systému, aby sa zabezpečilo, že požiadavky ISO 27001 sú stále splnené.

Aká je cena certifikátu ISO 27001? Cena certifikácie ISO 27001? Aká je cena certifikátu informačnej bezpečnosti?

Cena certifikátu ISO/IEC 27001 – certifikátu informačnej bezpečnosti podľa noriem ISO sa v zásade líši v závislosti na počte zamestnancov, veľkosti organizácie a zložitosti procesov. Významným faktorom je aj rýchlosť a čas budovania systému kvality podľa noriem ISO. Niektorá organizácia má dostatok času iná potrebuje certifikát ISO takpovediac „zajtra“.

Cena „certifikácie ISO 27001“ závisí aj od toho, či organizácia má záujem o jeden systém ( napr. certifikát ISO 9001 alebo certifikát ISO/IEC 27001 a podobne) alebo o integrovaný systém riadenia (napr. certifikát systému riadenia kvality podľa ISO 9001 + systému environmentálneho manažérstva podľa ISO 14001 + systému riadenia BOZP podľa ISO 45001 + systém informačnej bezpečnosti ISO/IEC 27001 a podobne).

Cenová ponuka na vybudovanie systému kvality podľa ISO noriem a ISO certifikáciu musí odrážať všetky tieto faktory.

Dobre vybudovaný systém kvality podľa ISO noriem pretrvá „veky“ v prípade, že je seriózne zavedený, je udržiavaný, pravidelne preverovaný a organizácia zabezpečuje jeho zlepšovanie a zároveň odráža skutočné procesy, ktoré sa v organizácii dejú.

Pre expresnú cenovú ponuku na vybudovanie systému informačnej bezpečnosti podľa normy ISO 27001 resp. na „certifikáciu ISO 27001“ prosím vyplňte rýchlu žiadosť o expresnú cenovú ponuku na certifikáciu ISO, alebo nám napíšte na náš mail ponuky@isocertifikat.sk