Medzinárodná norma ISO/IEC 27001 špecifikuje požiadavky na vytvorenie, zavedenie, údržbu a stále zlepšovanie systému riadenia informačnej bezpečnosti v kontexte organizácie.
Norma ISO/IEC 27001 obsahuje aj požiadavky na posúdenie a ošetrenie rizík informačnej bezpečnosti prispôsobených potrebám organizácie.
Požiadavky vymedzené v medzinárodnej norme ISO/IEC 27001 sú všeobecné a sú určené pre všetky organizácie bez rozdielu typu, veľkosti alebo pôvodu.
Nesplnenie niektorej z požiadaviek vymenovaných v kapitolách 4 až 10 nie je akceptovateľné, ak organizácia konštatuje dosiahnutie zhody s touto medzinárodnou normou.
Systém informačne bezpečnosti podľa ISO/IEC 27001 je časť celkového systému riadenia, založená na prístupe k riziku podniku, ktorej úlohou je zaviesť, implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť .
Vo svete je budovanie a certifikácia systémov informačnej bezpečnosti podľa ISO/IEC 27001 bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností.
Ekvivalentom k medzinárodnej normy ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015 Information technology. Security techniques. Information security management systems. Requirements je slovenská norma STN EN ISO/IEC 27001 Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Požiadavky (ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015) (Norma je identická s STN ISO/IEC 27001 zo septembra 2014)
Informačná bezpečnosť je viac ako informačne technológie. Systém manažérstva informačnej bezpečnosti umožni organizácii primerane zaobchádzať so svojimi informáciami a chrániť ich pred neželateľným unikom.
V čase prudkého rozmachu technických riešení na mieru ušitých požiadavkám na zjednodušenie a rýchlu výmenu informácií, sme čoraz častejšie svedkami neželateľných únikov. Aj rastúca migrácia zamestnancov medzi konkurenčnými spoločnosťami predstavuje riziko straty dôležitých poznatkov pri odchode týchto zamestnancov z organizácie. Systematický prístup k informačnej bezpečnosti pomáha organizácii riadiť informačne toky. Poskytuje organizáciám nástroj na identifikáciu kritických aktív a ich ochranu, vytvára možnosť získať si dôveru zamestnancov, zákazníkov, vlastníkov a celej spoločnosti.
Fázy budovania ISMS
Všeobecne platí, že bez toho, aby si to niekto uvedomoval, rad požiadaviek na ISMS býva v organizáciách splnený a teda aj realizovaný v súvislosti s riešením iných problémov alebo okruhov.
Je to dané napríklad tým, že organizácia rieši bezpečnosť IS, rieši fyzickú a objektovú bezpečnosť, posudzuje uchádzačov o prijatie do zamestnania, zálohuje a archivuje dáta, vytvára plány obnovy činnosti IS po havárií a pod. Tým ale súčasne plní aj určité požiadavky kladené na ISMS.
V prípade, že sa vedenie organizácie/podniku/spoločnosti rozhodne vybudovať ISMS v súlade s normou ISO/IEC 27001, pritom odporúčaná postupnosť krokov je takáto :
1. Analýza stavu ISMS,
- Určenie rámca ISMS,
- Aktualizácia a dopracovanie dokumentácie ISMS,
- Implementovanie procesov ISMS do praxe,
- Predcertifikačný audit ISMS,
- Certifikačný audit ISMS,
- Udržiavanie a zlepšovanie ISMS.
- Analýza stavu ISMS
Cieľom analýzy stavu ISMS je určiť existujúci stav najmä z hľadiska toho, ako existujúci prístup organizácie k informačnej bezpečnosti spĺňa požiadavky normy. Oblasti, ktoré sú predmetom analýzy, sú dané normou a patrí medzi ne najmä :
· Procesy a postupy vyžadované normou ISO%IEC 27001,
- Opatrenia vyžadované normou,
- Dokumentácia vyžadovaná normou,
- Interné normy riadenia vyžadované normou,
- Záznamy o fungovaní ISMS vyžadované normou.
V súčasnosti sú na trhu dostupné nástroje, ktoré umožňujú takúto rozdielovú analýzu realizovať s podporou SW nástroja.
- Definovať politiku ISMS v zmysle charakteristík podnikania organizácie, jej lokalizácie, aktív a technológií, ktorá:
- zahŕňa sústavu pre stanovenie jej cieľov a zavádza celkové chápanie smerovania a zásad konania vzhľadom na informačnú bezpečnosť;
- berie do úvahy podnikateľské a právne alebo regulačné požiadavky a zmluvné bezpečnostné záväzky;
- zavádza strategický kontext organizácie a riadenia rizík, v ktorom sa bude realizovať zavádzanie a údržba ISMS;
- zavádza kritéria, podľa ktorých sa bude ohodnocovať riziko a definovať štruktúra stanovenia rizika
Politika ISMS by mala byť schválená manažmentom organizácie.
Aktualizácia a dopracovanie dokumentácie ISMS
Manažér poverený budovaním systému informačnej bezpečnosti podľa ISO 27001 a jeho prípravou na certifikáciu by mal zabezpečiť vlastnými kapacitami alebo externe :
- vytvorenie chýbajúcej dokumentácie ISMS,
- a aktualizáciu existujúcej dokumentácie.
Dokumentácia systému informačnej bezpečnosti je popísaná v norme ISO 27001.
Implementovanie procesov systému informačnej bezpečnosti podľa ISO/IEC 27001 do praxe
Organizácia budujúca systém informačnej bezpečnosti by mala vykonávať nasledovné činnosti
- formulovať plán ošetrenia rizík, ktorý identifikuje vhodné kroky riadenia, zodpovednosti a priority riadenia rizík informačnej bezpečnosti
- riadiť prevádzku a to pomocou zdrojov a zároveň implementovať jednotlivé postupy
Predcertifikačný audit sytému informačnej bezpečnosti
Po určitom období normálneho fungovanie ISMS, odporúča sa 2 až 6 mesiacov, je možné pristúpiť k predcertifikačnému auditu.
Cieľom predcertifikačného auditu je zistiť, či všetky požiadavky normy boli v organizácii uspokojivo realizované, či ISMS funguje efektívne a teda existuje predpoklad, že ISMS je certifikovateľný nezávislým certifikačným orgánom .
Predcertifikačný audit spravidla vykonáva externá poradensko-konzultačná firma majúca skúsenosti s budovaním ISMS a preverovaním ich súladu s požiadavkami normy ISO/IEC 27001.
Certifikačný audit ISMS podľa ISO/IEC 27001
Certifikačný audit ISMS vykonávajú akreditované certifikačné orgány.
Pri realizácii certifikačného auditu podľa ISO/IEC 27001 sa certifikačné orgány riadia vlastnými metodikami, ktoré sú v súlade s platnou certifikačnou schémou. Certifikačný audit ISMS trvá v závislosti od veľkosti spoločnosti a rozsahu ISMS od jedného po tri, prípade aj viac dní
Po úspešnej certifikácii ISMS, ktorá končí vydaním certifikátu s platnosťou 3 roky, pravidelne, raz ročne prebiehajú tzv. dohľadové audity.
Cena certifikátu ISO/IEC 27001? Cena certifikácie ISO? Aká je cena certifikátu informačnej bezpečnosti?
Cena certifikácie podľa noriem ISO sa v zásade líši v závislosti na počte zamestnancov, veľkosti organizácie a zložitosti procesov. Významným faktorom je aj rýchlosť a čas budovania systému kvality podľa noriem ISO. Niektorá organizácia má dostatok času iná potrebuje certifikát ISO takpovediac „zajtra“.
Cena „certifikácie ISO“ závisí aj od toho, či organizácia má záujem o jeden systém ( napr. certifikát ISO 9001 alebo certifikát ISO/IEC 27001 a podobne) alebo o integrovaný systém riadenia (napr. certifikát systému riadenia kvality podľa ISO 9001 + systému environmentálneho manažérstva podľa ISO 14001 + systému riadenia BOZP podľa ISO 45001 + systém informačnej bezpečnosti ISO/IEC 27001 a podobne).
Cenová ponuka na vybudovanie systému kvality podľa ISO noriem a ISO certifikáciu musí odrážať všetky tieto faktory.
Dobre vybudovaný systém kvality podľa ISO noriem pretrvá „veky“ v prípade, že je seriózne zavedený, je udržiavaný, pravidelne preverovaný a organizácia zabezpečuje jeho zlepšovanie a zároveň odráža skutočné procesy, ktoré sa v organizácii dejú.
Pre expresnú cenovú ponuku na vybudovanie systému kvality podľa z niektorej ISO noriem resp. na „certifikáciu ISO“ prosím vyplňte rýchlu žiadosť o expresnú cenovú ponuku na certifikáciu ISO, alebo nám napíšte na náš mail.