ISO/IEC 27001 (ISMS): CERTIFICAREA SISTEMULUI DE MANAGEMENT AL SECURITĂȚII INFORMAȚIILOR

ISO 27001 este standardul internațional al sistemului de management care definește cerințele pentru un sistem de management al securității informațiilor (ISMS). Standardul oferă un cadru al celor mai bune practici pentru a identifica, analiza și implementa controale pentru a gestiona și a preveni riscurile - reducând probabilitatea unei încălcări a securității informațiilor.
Orice organizație - indiferent de mărime și de sector - poate folosi cerințele și controalele din ISO 27001 pentru a implementa un sistem de management al securității informațiilor (ISMS) eficient, care poate fi certificat independent.

Certificarea acreditată ISO 27001, oferită de un organism de certificare renumit și independent, demonstrează angajamentul față de securitatea informațiilor, oferindu-vă o viziune obiectivă asupra robusteții și eficienței sistemului dumneavoastră ISMS. Acest lucru ajută la îndeplinirea obligațiilor contractuale și în multe cazuri, servește drept licență de comercializare.

Protejați-vă datele și reputația

Certificarea ISO 27001 demonstrează că ați implementat o abordare sistematică, bazată pe riscuri si pe securitatea informațiilor, care generează cele mai bune practici în jurul dvs.: 

• Identificarea riscurilor în securitatea cibernetică și a informațiilor
• Analiza riscurilor pe baza impactului și a probabilității acestora
• Evaluarea și prioritizarea riscurilor atunci când sunt abordate pe baza factorilor legați de activitatea dvs.
• Selectarea opțiunilor de tratare a riscurilor

Demonstrarea respectării legilor, reglementărilor și cerințelor contractuale

Obținerea certificării conform ISO 27001 impune să identificați legislația aplicabilă, ca de exemplu GDPR UE sau reglementările HIPAA. Acest lucru are un efect pozitiv asupra managementului riscurilor și a guvernării corporatiste, ajutându-vă să dovediți conformarea și să îndepliniți cerințele contractuale.

Avantaj concurențial

Certificarea LRQA confirmă clienților și părților interesate că riscurile de securitate - care ar putea fi legate de IT, oameni, mediul fizic și continuitatea activității - au fost abordate în mod adecvat pentru a le proteja informațiile.

Certificarea ISO 27001 este o dovadă clară a capacității dumneavoastră și demonstrează că vă desfășurați activitatea în conformitate cu cele mai bune practici recunoscute pe plan internațional - ceea ce vă ajută să câștigați noi afaceri.

Auditurile ISO 27001 urmează aceeași abordare ca și alte sisteme de management bazate pe anexa SL. Puteți începe cu formarea și cu o analiză a lacunelor, dar procesul formal implică un audit al proiectării SMSI (etapa 1) și un audit al funcționării acestuia (etapa 2). Rezultatele acestor audituri sunt revizuite din punct de vedere tehnic de către o persoană calificată și independentă din cadrul LRQA pentru a asigura coerența și alinierea cu angajamentul nostru față de cele mai bune practici definite de acreditanți.

Odată aprobat, certificatul ISO 27001 este emis și începeți un ciclu de trei ani de audituri de supraveghere, care conduce la un audit de reînnoire pentru a restabili următorii trei ani. Supravegherea permite atât LRQA, cât și organizației dumneavoastră să gestioneze schimbările și să se asigure că auditurile sunt relevante pentru nevoile actuale ale industriei.

Odată aprobată, certificarea durează trei ani, sub rezerva unei întrețineri eficiente a sistemului, demonstrată prin programul de supraveghere.

O declarație tipică de domeniu a certificatului ISMS include activități legate de livrarea produselor și serviciilor. Nu trebuie să includă activități interne sau procese ISMS. Scopul este de a vă asigura că informațiile furnizate când primiți produsul sau serviciul sunt protejate.

Declarația de aplicabilitate se referă la lista de controale selectate. Nu oferă detalii despre aceste controale, ci o referință documentată la o declarație de control utilizată ca bază a ultimului audit ISO 27001. Uneori organizațiile au o versiune publică, care enumeră numai măsurile de control selectate din Anexa A a ISO 27001, dar aceasta nu este o cerință obligatorie.

Costul se bazează pe numărul de zile de auditare, care depind de numărul de angajați din sfera de aplicare a sistemului ISMS. Numărul de zile de auditare este publicat în standardul de acreditare ISO 27006 și este disponibil pentru toată lumea. Implicarea unui organism de certificare acreditat ca LRQA asigură obținerea unei durate propuse de audit pe baza celor mai bune practici din industrie, comparabilă cu toate celelalte organisme de certificare acreditate.

De exemplu, o organizație de 100 de echivalenți cu normă întreagă (FTE) ar trebui să se aștepte la o durată inițială a auditului (Etapa 1 + Etapa 2) de 8 până la 12 zile, în funcție de sectorul în care activează, de cât de complex este mediul lor de lucru, dacă sunt implicați în dezvoltarea software-ului sau dacă trebuie să integreze securitatea în produs. Programul de supraveghere ulterior ar fi 3-4 zile/an și reînnoirea de 6-8 zile.

Da - deoarece atât ISO 9001, cât și ISO 27001 se bazează pe modelul generic de bune practici pentru sistemele de management - anexa SL - procesele de management de bază pot fi optimizate pentru a îndeplini cerințele ambelor standarde. De fapt, conceperea unui sistem care să răspundă ambelor standarde îmbunătățește eficiența guvernanței organizaționale. De exemplu, obiectivele de afaceri, cum ar fi creșterea, necesită adesea dezvoltarea de noi produse, în cazul cărora securitatea este considerată, de obicei, un standard de calitate în conformitate cu așteptările pieței. De asemenea, integrarea poate minimiza duplicarea, ceea ce poate duce la o reducere a timpului de audit, oferind o opțiune rentabilă.

Calea pe care organizația dvs. o adoptă pentru obținerea certificării ISO 27001 depinde adesea de nivelul de maturitate al organizației dvs. în ceea ce privește securitatea informațiilor și un management mai larg al riscului, printre alți factori. Însă procesul tipic de obținere a certificării ISO 27001 include 3 etape principale.

• Audit etapa 1 - revizuirea și planificarea documentației: Auditorul dvs. va analiza structura și documentația sistemului de management - în majoritatea cazurilor acest lucru se realizează de la distanță.
• Audit etapa 2 - evaluarea implementării: Auditorul dvs. va evalua implementarea și eficacitatea sistemului de management al securității informațiilor (ISMS) conform cerințelor ISO 27001. Dacă nu există neconformități, veți primi certificarea. Această etapă poate fi efectuată de la distanță sau la fața locului.
• Promovați-vă certificarea ISO 27001: Certificarea dvs. demonstrează angajamentul pentru cele mai bune practici recunoscute pe plan internațional și îmbunătățire continuă, ajutându-vă să câștigați noi afaceri și să îndepliniți cerințele clienților.

Publicarea ISO 27002:2022 oferă o actualizare a listei de controale prezente în ISO 27001 - care datează din 2013. Controalele revizuite reflectă evoluțiile legate atât de amenințări, cât și de cele mai bune practici actuale, iar domeniul de aplicare extins al ISO 27002 contribuie la asigurarea faptului că măsurile de gestionare a riscurilor sunt ample și eficiente. Organizațiile pot utiliza lista cuprinzătoare de controale pentru a trata riscurile pe care le-au identificat sau pentru a descoperi potențiale lacune - ceea ce le ajută să rămână cu un pas înaintea peisajului complex și în continuă evoluție al amenințărilor cu care se confruntă întreprinderile în prezent.

O nouă versiune a ISO 27001 a fost publicată la 25 octombrie 2022. Având în vedere noile controale descrise de ISO 27002:2022, organizațiile vor trebui să își revizuiască evaluarea riscurilor și să determine dacă trebuie implementate noi tratamente ale riscurilor.