s porušením bezpečnosti informací je nyní nový normál, bezpečnostní týmy jsou nuceny přijmout vyhrazená opatření ke snížení rizika poškození porušení. ISO 27001 představuje účinný způsob snižování těchto rizik.
v tomto blogu vysvětlujeme, jak můžete získat certifikaci ISO 27001 a podívat se na proces certifikace.
připravte
získejte Pochopení ISO 27001
čtení normy poskytuje vynikající zázemí pro ISO 27001 a jeho požadavky. Existuje několik způsobů, jak se o ISO 27001 zdokonalit:
- Přečtěte si bezplatnou bílou knihu o standardu
- Přečtěte si bezplatné informace o správě IT o ISO 27001 a jak začít
- zakupte si kopii standardu (není volně k dispozici)
- možná budete chtít navštívit úvodní online výcvikový kurz nadace ISO 27001
jmenujte šampiona ISO 27001
získání nahlédnutí do ISO 27001 je užitečným způsobem, jak začít seznamte se s certifikačním procesem, ale potřebujete skutečného odborníka, který vám pomůže dokončit proces.
může to být někdo ve vaší organizaci nebo třetí strana, která tento proces řídí. Ať tak či onak, měli by mít zkušenosti s implementací systému ISMS (information security management system) a pochopit, jak implementovat jeho požadavky ve vaší organizaci.
pokud nemáte interní odborné znalosti, možná budete chtít zapsat do ISO 27001 online Lead Implementer školení.
Secure senior management support
žádný projekt nemůže být úspěšný bez buy-inu a podpory vedení organizace.
analýza mezer, která zahrnuje komplexní přehled všech stávajících opatření v oblasti bezpečnosti informací v souladu s požadavky normy ISO/IEC 27001:2013, představuje dobrý výchozí bod.
důkladná analýza mezer by měla v ideálním případě zahrnovat prioritní plán doporučených akcí a další pokyny pro vyhledávání vašich ismů.
výsledky analýzy gap mohou být poskytnuty k vytvoření silného obchodního případu pro implementaci ISO 27001.
stanovit kontext, rozsah a cíle
je nezbytné stanovit cíle projektu a ISMS od samého počátku, včetně nákladů na projekt a časového rámce. Budete muset zvážit, zda budete využívat externí podporu z poradenství nebo budete mít požadované interní znalosti.
možná budete chtít udržet kontrolu nad celým projektem a spoléhat se na pomoc specializovaného online mentora v kritických fázích projektu.
použití online mentora pomůže zajistit, aby váš projekt zůstal na správné cestě a zároveň vám ušetří související náklady na používání konzultantů na plný úvazek po dobu trvání projektu.
budete také muset rozvinout rozsah ISMS, který se může rozšířit na celou organizaci nebo pouze na konkrétní oddělení nebo geografickou polohu.
při definování rozsahu budete muset vzít v úvahu organizační kontext a potřeby a požadavky zúčastněných stran (zúčastněné strany, zaměstnanci, vláda, regulátoři atd.).
„kontext“ bere v úvahu vnitřní a vnější faktory, které by mohly ovlivnit informační bezpečnost vaší organizace. Zahrnuje aspekty, jako je organizační kultura, kritéria přijímání rizik, stávající systémy, procesy atd.
(zvažte balíček All-inclusive Do It Yourself, který kromě nástrojů, školení a softwaru zahrnuje pět dní strukturovaného poradenství).
vytvořte rámec řízení
rámec řízení popisuje procesy, které musí organizace dodržovat, aby splnila své implementační cíle ISO27001.
tyto procesy zahrnují prosazování odpovědnosti ISMS, harmonogram činností a pravidelné audity na podporu cyklu neustálého zlepšování.
provést hodnocení rizik
zatímco ISO 27001 nepředepisuje specifickou metodiku hodnocení rizik, vyžaduje, aby hodnocení rizik bylo formálním procesem.
to znamená, že proces musí být naplánován a data, analýza a výsledky musí být zaznamenány.
než provedete hodnocení rizik, musíte si stanovit základní bezpečnostní kritéria. To se týká obchodních, právních a regulačních požadavků organizace, jakož i jejích smluvních závazků souvisejících s bezpečností informací.
vsRisk Cloud, nejjednodušší a nejúčinnější software pro hodnocení rizik, poskytuje rámec a zdroje pro provádění hodnocení rizik v souladu s normou ISO 27001.
zavést kontroly ke zmírnění rizik
jakmile jsou identifikována příslušná rizika, musí se organizace rozhodnout, zda rizika ošetří, toleruje, ukončí nebo převede.
je důležité zdokumentovat všechna rozhodnutí týkající se odpovědí na rizika, protože auditor je bude chtít přezkoumat během registračního (certifikačního) auditu.
SoA (Prohlášení o použitelnosti) a RTP (plán léčby rizik) jsou dvě povinné zprávy, které musí být předloženy jako důkaz hodnocení rizik.
provádějte školení
norma vyžaduje, aby byly zahájeny programy informovanosti zaměstnanců s cílem zvýšit povědomí o bezpečnosti informací v celé organizaci.
budete také povinni provádět zásady, které nasměrují zaměstnance k dobrým návykům. To může zahrnovat politiku čistého stolu a požadavek na uzamčení počítačů, kdykoli opustí své pracovní stanice.
e-learningový kurz informovanosti zaměstnanců v celé společnosti je nejjednodušší způsob, jak překonat filozofii standardu a to, co by zaměstnanci měli udělat, aby zajistili dodržování předpisů.
Zkontrolujte a aktualizujte požadovanou dokumentaci
dokumentace je vyžadována pro podporu nezbytných procesů, zásad a postupů ISMS.
sestavování zásad a postupů je však často docela zdlouhavý a náročný úkol. Naštěstí jsou šablony dokumentace-vyvinuté odborníky ISO 27001-k dispozici pro většinu práce za vás.
formátované a plně přizpůsobitelné, tyto šablony obsahují odborné pokyny, které pomáhají každé organizaci splnit všechny požadavky na dokumentaci ISO 27001.
norma vyžaduje minimálně následující dokumentaci:
- rozsah ISMS
- politika informační bezpečnosti
- proces hodnocení rizik informační bezpečnosti
- proces léčby rizik informační bezpečnosti
- Prohlášení o použitelnosti
- cíle informační bezpečnosti
- důkazy o způsobilosti
- dokumentované informace určené organizací jako nezbytné pro účinnost ISMS
- operační plánování a řízení
- výsledky hodnocení rizika informační bezpečnosti
- výsledky rizika informační bezpečnosti léčba
- důkazy o sledování a měření výsledků
- zdokumentovaný proces interního auditu
- důkazy o auditorských programech a výsledcích auditu
- důkazy o výsledcích kontrol řízení
- důkazy o povaze neshod a případných následných opatřeních
- důkazy o výsledcích jakýchkoli nápravných opatření přijatých
měření, sledování a přezkum
ISO 27001 podporuje proces neustálého zlepšování. To vyžaduje, aby výkon ISMS byl neustále analyzován a přezkoumáván z hlediska účinnosti a souladu, kromě identifikace zlepšení stávajících procesů a kontrol.
provést interní audit
ISO/IEC 27001: 2013 vyžaduje interní audity ISMS v plánovaných intervalech. Praktické pracovní znalosti procesu vedoucího auditu jsou také zásadní pro manažera odpovědného za implementaci a udržování souladu s normou ISO 27001.
Online certifikovaný kurz ISO 27001 Lead Auditor vás naučí, jak naplánovat a provést efektivní audit informační bezpečnosti podle ISO 27001: 2013.
také vás naučí vést tým auditorů a provádět externí audity. Pokud jste dosud nevybrali registrátora, možná budete muset pro tento účel zvolit vhodnou organizaci.
registrační audity (k dosažení akreditované registrace, uznávané celosvětově) může provádět pouze nezávislý registrátor akreditovaný příslušným akreditačním orgánem ve vaší zemi.
registrační / certifikační audity
během auditu první fáze auditor posoudí, zda vaše dokumentace splňuje požadavky normy ISO 27001. Poukážou také na jakékoli oblasti neshody a možného zlepšení systému řízení.
po provedení jakýchkoli požadovaných změn bude vaše organizace připravena na váš registrační audit fáze 2.
certifikační audit
během auditu ve druhé fázi auditor provede důkladné posouzení, aby zjistil, zda dodržujete normu ISO 27001.
jak dlouho bude trvat získání certifikace?
proces implementace ISO 27001 bude záviset na velikosti a složitosti systému řízení, ale ve většině případů mohou malé až středně velké organizace očekávat dokončení procesu do 6-12 měsíců.
certifikační podpora s IT Governance USA
jste připraveni zahájit svůj projekt ISO 27001? Pokud ano, naše nabídka implementačních balíčků je ideálním výchozím bodem.
díky kombinaci nástrojů, softwaru, průvodců a kvalifikačních školení s až 40 hodinami online poradenství získáte odborné pokyny, které potřebujete ke splnění požadavků vaší organizace.
pomohou vám snížit čas a úsilí potřebné k implementaci ISMS, stejně jako eliminovat náklady na poradenskou práci, cestování a další výdaje spojené s tradičním poradenstvím.
verze tohoto blogu byla původně publikována 13. března 2019.