ISO/IEC 27001: Certifikace systému managementu bezpečnosti informací (ISMS)
Získejte certifikaci a školení od odborníků z LRQA
Chraňte své informace
Každé organizaci – bez ohledu na její velikost a odvětví – poskytne standard ISO/IEC 27001 silný základ pro komplexní strategii zabezpečení informací a kybernetického prostoru. Standard představuje rámec osvědčených postupů systému managementu bezpečnosti informací, který omezí rizika a ochrání nejdůležitější podniková data prostřednictvím identifikace, analýzy a výkonných prvků. Akreditovaná certifikace dle ISO 27001 prokazuje, že používáte procesy a postupy, které chrání informace ve vaší organizaci – a tím i informace vašich zákazníků – proti neustále složitějšímu prostředí hrozeb. Podívejte se na Časté dotazy o standardu a našich nabídkách.
Byla zveřejněna norma ISO/IEC 27001:2022
Dne 25. října 2022 byla zveřejněna nová verze normy ISO 27001, která představuje novou éru osvědčených postupů v oblasti bezpečnosti informací.
Byla zveřejněna norma ISO/IEC 27001:2022 (ENG)
Naše služby v oblasti ISO/IEC 27001
Naše certifikační a školicí služby můžeme poskytovat na místě, vzdáleně (telekonferenčně) nebo kombinovaně – který vám nabízí flexibilitu a model služeb vyhovující vašim potřebám.
Školení
Získejte znalosti standardu ISO 27001 s využitím řady kurzů navržených pro různé úrovně odbornosti – poskytované různými výukovými způsoby.
Rozdílová analýza (GAP)
Volitelná služba, při které vám jeden z našich zkušených auditorů pomůže identifikovat kritické, rizikové či slabé oblasti vašeho systému před započetím formálního auditu dle ISO 27001.
Akreditovaná certifikace
Nezávislý dvoufázový proces, který zřetelně deklaruje schopnost vaší organizace plnit požadavky a očekávání zainteresovaných stran. Akreditovaná certifikace vám tak pomáhá získávat nové obchodní příležitosti a upevňovat důvěru zainteresovaných stran.
Integrované audity
Máte-li zavedeno více systémů managementu, můžete těžit z integrovaného auditního a kontrolního programu, který je účinnější a ekonomičtější.
Komplexní přístup k zabezpečení informací a kybernetického prostoru
Naše hluboké technické znalosti a odborné zkušenosti, podpořené širokým portfoliem v oblasti kybernetické bezpečnosti, nám umožňují spolupracovat s vaší organizací a pomoci vám identifikovat konkrétní hrozby, kterým čelíte, a nalézt řešení na jejich zmírnění. Můžeme certifikovat váš systém, určit slabá místa a pomoci předcházet útokům a incidentům, které by mohly narušit integritu vaší značky a mít dopad na vaše finance a provoz.
Proč s námi spolupracovat?
Globální působnost
Jsme všude, kde jste vy. S pomocí více než 300 vysoce kvalifikovaných auditorů a 250 specializovaných odborníků na kybernetickou bezpečnost po celém světě můžeme nabídnout služby v místě s globálně konzistentním zaměřením na kvalitu. Naši lidé jsou technickými odborníky s rozsáhlými znalostmi rizik, problémů, standardů, předpisů a rámců v oblasti bezpečnosti informací a kybernetického prostoru.
Flexibilní realizace
Ve většině případů dokážeme všechny naše školicí a certifikační služby v oblasti ISO 27001 poskytovat jak na místě tak na dálku s použitím bezpečných telekonferenčních technologií. Pokud se rozhodnete pro způsob vzdáleného poskytování, získáte stejně kvalitní služby a navíc další výhody jako flexibilitu, rychlou realizaci či přístup ke globálním odborníkům.
Byli jsme první
Jako první jsme získali akreditaci UKAS k poskytování certifikačních služeb pro celou řadu standardů a po celém světě. Neustále se snažíme pomáhat při vývoji nejrůznějších standardů a rámců napříč odvětvími.
Celková jistota
Společně s naší oceňovanou dceřinou společností Nettitude poskytující služby v oblasti kybernetické bezpečnosti vám můžeme pomoci zůstat o krok napřed před sofistikovanými kybernetickými hrozbami s pomocí pokročilých služeb, které poskytují frontovou ochranu a reakci na všechny hrozby a zranitelná místa.
Co je standard ISO 27001?
ISO 27001 je mezinárodní standard pro systémy managementu stanovující požadavky pro systémy managementu bezpečnosti informací (Information Security Management System, ISMS). Standard poskytuje rámec osvědčených postupů identifikace, analýzy a zavedení kontrolních prostředků za účelem managementu a snížení rizik – a tím snížení pravděpodobnosti narušení bezpečnosti informací. Jakákoliv organizace – bez ohledu na velikost a odvětví – může využít požadavky a kontrolní prvky v rámci standardu ISO 27001 k zavedení efektivního systému managementu bezpečnosti informací, který lze nezávisle certifikovat.
Akreditovaná certifikace dle ISO 27001 vydaná uznávaným a nezávislým certifikačním orgánem demonstruje úsilí v oblasti zabezpečení informací a poskytuje objektivní pohled na komplexnost a efektivitu vašeho systému managementu bezpečnosti informací. To pomáhá plnit smluvní povinnosti a v mnoha případech slouží jako obchodní licence.
Jaké výhody přináší standard ISO 27001 a proč je tolik důležitý?
Ochraňte své údaje a pověst
Certifikace dle ISO 27001 ukazuje váš systematický přístup k zabezpečení informací založený na hodnocení rizik, který praktikuje osvědčené postupy:
- Identifikace rizik bezpečnosti informací a kybernetického prostoru
- Analýza rizik podle dopadu a pravděpodobnosti
- Vyhodnocení rizik a prioritizace jejich řešení podle faktorů vycházejících z vašeho podnikání
- Volba možností řešení rizik
Demonstrujte vaši shodu se zákony, vyhláškami, nařízeními a smluvními požadavky
K získání certifikace dle ISO 27001 budete muset splnit požadavky platných předpisů, jako například obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) nebo HIPAA. To má pozitivní vliv na management rizik a vedení organizace a dále pomáhá demonstrovat shodu a plnění smluvních požadavků.
Konkurenční výhoda
Certifikace od společnosti LRQA poskytuje klientům a zainteresovaným stranám důvěru, že bezpečnostní rizika – která se mohou týkat informačních technologií, lidí, fyzického prostředí či kontinuity podnikání – jsou řádně řešena za účelem ochrany jejich informací.
Certifikace dle ISO 27001 zřetelně deklaruje vaše schopnosti a ukazuje, že váš provoz je v souladu s mezinárodně uznávanými osvědčenými postupy – a pomáhá vám tak získávat nové obchodní příležitosti.
Jak fungují audity ISO 27001?
Audity dle ISO 27001 používají stejný přístup jako jiné systémy managementu . Můžete začít školením a rozdílovou analýzou, ale formální proces zahrnuje audit návrhu systému managementu bezpečnosti informací (1. etapa) a audit jeho implementace a efektivnosti (2. etapa). Výstupy těchto auditů z technického hlediska zkontroluje nezávislá kvalifikovaná osoba ze společnosti LRQA, aby byla zajištěna konzistence a soulad s našimi požadavky na osvědčené postupy stanovené našimi akreditačními orgány.
Po schválení vám vydáme certifikát ISO 27001 a začne vám tříletý cyklus dozorových auditů vedoucí k recertifikačnímu auditu, který zahájí další tříletý cyklus. Dozorové audity umožňují společnosti LRQA i vaší organizaci spravovat změny a zajistit tak relevanci auditů podle aktuálních oborových potřeb.
Jak dlouho trvá certifikace podle standardu ISO 27001?
Certifikace po schválení platí po dobu tří let, přičemž je podrobena kontrolnímu programu dozorových auditů, které ověřují efektivní fungování systému.
Co je součástí obvyklého rozsahu systému managementu bezpečnosti informací a prohlášení o aplikovatelnosti?
Rozsah činností uvedený na certifikátu systému managementu bezpečnosti informací zahrnuje činnosti související s poskytováním vašich výrobků a služeb. Nemusí zahrnovat interní činnosti nebo procesy systému managementu bezpečnosti informací. Cílem je ujistit zainteresované strany, že informace poskytnuté při přijetí výrobku či služby jsou chráněny.
Prohlášení o aplikovatelnosti odkazuje na seznam zvolených kontrolních prostředků. Neuvádí podrobnosti o těchto kontrolních prostředcích, nýbrž sledovatelný odkaz na kontrolní prohlášení, které bylo použité jako základ pro poslední audit dle ISO 27001. Někdy mají organizace veřejnou verzi určenou ke sdílení, která jednoduše uvádí kontrolní prostředky zvolené z Přílohy certifikátu ISO 27001, to však není povinný požadavek.
Na kolik vyjde získat certifikaci dle ISO 27001?
Náklady se odvíjí od počtu auditních dnů, který pak závisí na počtu zaměstnanců v rámci systému managementu bezpečnosti informací. Počet auditních dnů je uveden v akreditované normě, ISO 27006, a je všem k dispozici k nahlédnutí. Zapojení akreditovaného certifikačního orgánu, jako je společnost LRQA, zajišťuje, že vám bude navrženo trvání auditu podle osvědčených postupů v odvětví a srovnatelné s trváním, jaké by navrhly všechny ostatní akreditované certifikační orgány.
Jako příklad, organizace se 100 zaměstnanci na plný úvazek může očekávat trvání prvotního auditu (1. etapa + 2. etapa) v délce mezi 8 a 12 dny, v závislosti na sektoru, ve kterém působí, složitosti jejich pracovního prostředí, zda provádí vývoj softwaru nebo zda potřebují zakomponovat zabezpečení do produktu. Následující kontrolní program dozorových auditů, který zabere přibližně 3 až 4 dny za rok, a obnovení platnost certifikátu po 3 letech (recertifikace) 6 až 8 dnů.
Již máme certifikaci dle ISO 9001. Mohu ji integrovat se standardem ISO 27001?
Ano – jelikož oba standardy ISO 9001 a ISO 27001 jsou založeny na obecném modelu osvědčených postupů pro systémy managementu – Annex SL k dokumentu JTCG N316. Takže základní procesy managementu lze optimalizovat pro splnění požadavků obou standardů. Navržením systému tak, aby splňoval požadavky obou standardů, vlastně zvýšíte efektivitu managementu podniku. Například podnikové cíle, jako je růst, často vyžadují vývoj nových výrobků, kde je bezpečnost uvažována jako kvalitativní standard v souladu s očekáváním trhu. Integrace může také minimalizovat zdvojování, což může vést ke zkrácení doby auditu a nabídnout tak ekonomičtější způsob.
Jak vypadá obvyklý certifikační proces dle ISO 27001?
Cesta, kterou vaše organizace zvolí za účelem dosažení certifikace dle ISO 27001, často závisí mimo jiné na úrovni vyspělosti vašeho podniku ve vztahu k bezpečnosti informací a širšímu pojetí managementu rizik. Většina organizací, které ke standardu ISO 27001 přistupují poprvé, obvykle volí následující postup.
1. Urychlit zavedení standardu ISO 27001: Naše nabídka školicích kurzů v oblasti ISO 27001 vám pomůže získat znalosti standardu a jeho požadavků – poskytne vám poznatky a dovednosti nezbytné k optimalizaci vašeho systému managementu.
2. Posouzení připravenosti: Naše služby předběžného posouzení mohou mít formu rozdílové analýzy nebo předběžného posouzení. Jeden z našich zkušených auditorů posoudí připravenost vašeho systému a vyznačí oblasti, které vyžadují další pozornost, než pokročíte k formálnímu auditu dle ISO 27001.
3. 1. etapa auditu – kontrola dokumentů a plánování: Auditor zkontroluje koncepci systému a dokumentaci a vyhodnotí, zda splňuje požadavky normy s ohledem nanavržený rozsah auditu. Následuje rozhovor s klíčovými členy týmu. 1. etapa auditu se většinou provádí vzdáleně.
4. 2. etapa auditu – hodnocení zavedení Během 2. etapy auditor vyhodnotí implementaci a efektivnost systému managementu bezpečnosti informací v souladu s požadavky standardu ISO 27001. Nejsou-li odhaleny zásadní nedostatky, bude doporučeno schválení a vy obdržíte certifikaci. 2. etapy auditu lze provést jak vzdáleně tak na místě, resp. kombinovaně.
5. Prezentace vaší certifikace dle ISO 27001: Cerifikátem presentujete vaše úsilí při používání mezinárodně uznávaných osvědčených postupů a neustálé zlepšování (continual improvement) – a pomáhá vám tak získávat nové obchodní příležitosti a plnit požadavky zákazníků a dalších zainteresovaných stran.
6. Roční dozorový audit: Vaše certifikace dle ISO 27001 probíhá v tříletých cyklech. Každý rok provádíme dozorové audity, abychom zajistili trvající efektivnost vašeho systému managementu, jeho implementaci a neustálé zlepšování.
7. Obnova certifikátu: Tři měsíce před uplynutím platnosti certifikátu provedeme obnovovací audit aktivit vaší organizace, který zajistí jejich pokračující plnění požadavků standardu ISO 27001.
Co je standard ISO 27002:2022 a jaký je jeho dopad?
Vydání standardu ISO 27002:2022 obsahuje aktualizaci seznamu kontrolních prostředků uvedeného v ISO 27001 z roku 2013. Revidované kontrolní prostředky odráží vývoj hrozeb i osvědčených postupů a širší záběr standardu ISO 27002 pomáhá zajistit efektivnost a široký aplikační rozsah opatření k managementu rizik. Organizace mohou využít obsáhlý seznam kontrolních prostředků v boji proti zjištěným rizikům nebo k odhalení potenciálních slabých míst – což jim pomůže zůstat o krok napřed před složitým a stále se vyvíjejícím prostředí hrozeb, kterým podniky v dnešní době čelí.
Podívejte se na další související certifikace
Nabízíme 360⁰ služeb od certifikace systémů managementu a školení až po management rizik a shodu se zákony, vyhláškami a nařízeními..
