w przypadku naruszenia bezpieczeństwa informacji Teraz nowa norma, zespoły ds. bezpieczeństwa są zmuszone do podjęcia specjalnych środków w celu zmniejszenia ryzyka wystąpienia szkodliwego naruszenia. ISO 27001 stanowi skuteczny sposób na zmniejszenie tego ryzyka.
na tym blogu wyjaśniamy, w jaki sposób można uzyskać certyfikat ISO 27001 i przyjrzeć się procesowi certyfikacji.
przygotuj się
poznaj ISO 27001
Czytanie normy stanowi doskonałe tło dla ISO 27001 i jej wymagań. Istnieje kilka sposobów na zwiększenie umiejętności w zakresie ISO 27001:
- przeczytaj bezpłatną białą księgę na temat standardu
- przeczytaj bezpłatne informacje dotyczące zarządzania IT na temat ISO 27001 i jak zacząć
- kup kopię standardu (nie jest on dostępny bezpłatnie)
- możesz wziąć udział w wprowadzającym szkoleniu Fundacji ISO 27001 online
wyznacz mistrza ISO 27001
uzyskanie wglądu w ISO 27001 jest przydatnym sposobem zapoznania się z procesem certyfikacji, ale potrzebujesz prawdziwego eksperta, aby pomóc w zakończeniu procesu.
może to być ktoś z Twojej organizacji lub osoba trzecia, która zarządza procesem. Tak czy inaczej, powinni mieć doświadczenie we wdrażaniu systemu ISMS (information security management system) i zrozumienie, jak wdrożyć jego wymagania w organizacji.
jeśli nie masz wewnętrznej wiedzy, możesz zapisać się na szkolenie online Lead Implementer ISO 27001.
bezpieczne wsparcie dla kierownictwa wyższego szczebla
żaden projekt nie może odnieść sukcesu bez udziału i wsparcia kierownictwa organizacji.
dobrym punktem wyjścia jest analiza luk, która obejmuje kompleksowy przegląd wszystkich istniejących rozwiązań w zakresie bezpieczeństwa informacji pod kątem wymagań normy ISO/IEC 27001:2013.
dokładna analiza luk powinna idealnie obejmować priorytetowy plan zalecanych działań i dodatkowe wskazówki dotyczące zakresu ISMS.
wyniki analizy luk mogą być dostarczone w celu opracowania mocnego uzasadnienia biznesowego dla wdrożenia ISO 27001.
ustalenie kontekstu, zakresu i celów
istotne jest, aby od samego początku określić cele projektu i ISMS, w tym koszty projektu i ramy czasowe. Musisz rozważyć, czy będziesz korzystać z zewnętrznego wsparcia od konsultanta, czy też posiadasz wymaganą wiedzę wewnętrzną.
możesz chcieć zachować kontrolę nad całym projektem, jednocześnie polegając na pomocy dedykowanego mentora online na krytycznych etapach projektu.
Korzystanie z mentora online pomoże zapewnić, że projekt pozostanie na dobrej drodze, jednocześnie oszczędzając koszty związane z korzystaniem z pełnoetatowych konsultantów na czas trwania projektu.
będziesz musiał również rozwinąć zakres ISMS, który może obejmować całą organizację lub tylko określony dział lub lokalizację geograficzną.
definiując zakres, musisz wziąć pod uwagę kontekst organizacyjny oraz potrzeby i wymagania zainteresowanych stron (interesariuszy, pracowników, rządu, organów regulacyjnych itp.).
„kontekst” uwzględnia wewnętrzne i zewnętrzne czynniki, które mogą mieć wpływ na bezpieczeństwo informacji w organizacji. Obejmuje takie aspekty, jak kultura organizacyjna, kryteria akceptacji ryzyka, istniejące systemy, procesy itp.
(rozważ pakiet All-inclusive Do It Yourself, który obejmuje pięć dni zorganizowanego doradztwa, oprócz narzędzi, szkoleń i oprogramowania).
ustanowienie ram zarządzania
ramy zarządzania opisują procesy, których organizacja musi przestrzegać, aby osiągnąć cele wdrożenia ISO27001.
procesy te obejmują zapewnienie odpowiedzialności ISMS, harmonogram działań i regularne audyty w celu wsparcia cyklu ciągłego doskonalenia.
przeprowadzić ocenę ryzyka
chociaż ISO 27001 nie określa konkretnej metody oceny ryzyka, wymaga, aby ocena ryzyka była procesem formalnym.
oznacza to, że proces musi być zaplanowany, a dane, analizy i wyniki muszą być rejestrowane.
przed przeprowadzeniem oceny ryzyka należy ustalić podstawowe kryteria bezpieczeństwa. Odnosi się to do wymogów biznesowych, prawnych i regulacyjnych organizacji, a także jej zobowiązań umownych związanych z bezpieczeństwem informacji.
vsrisk Cloud, najprostsze i najskuteczniejsze oprogramowanie do oceny ryzyka, zapewnia ramy i zasoby do przeprowadzenia oceny ryzyka zgodnej z normą ISO 27001.
wdrożenie kontroli w celu ograniczenia ryzyka
po zidentyfikowaniu odpowiednich zagrożeń organizacja musi zdecydować, czy traktować, tolerować, usuwać lub przenosić ryzyko.
kluczowe jest udokumentowanie wszystkich decyzji dotyczących odpowiedzi na ryzyko, ponieważ audytor będzie chciał je przejrzeć podczas audytu rejestracyjnego (certyfikacyjnego).
SoA (Oświadczenie o stosowalności) i RTP (plan leczenia ryzyka) to dwa obowiązkowe raporty, które muszą być przedstawione jako dowód oceny ryzyka.
prowadzenie szkoleń
Norma wymaga, aby programy świadomości personelu były inicjowane w celu podniesienia świadomości na temat bezpieczeństwa informacji w całej organizacji.
będziesz również zobowiązany do wdrożenia polityk, które kierują pracowników na dobre nawyki. Może to obejmować zasady czystego biurka i wymóg blokowania komputerów po opuszczeniu stacji roboczych.
szkolenie e-learningowe dla pracowników w całej firmie to najprostszy sposób na zapoznanie się z filozofią stojącą za standardem i tym, co pracownicy powinni zrobić, aby zapewnić zgodność z przepisami.
Przejrzyj i zaktualizuj wymaganą dokumentację
dokumentacja jest wymagana do obsługi niezbędnych procesów, zasad i procedur ISMS.
Kompilowanie zasad i procedur jest często dość żmudnym i wymagającym zadaniem. Na szczęście szablony dokumentacji-opracowane przez ekspertów ISO 27001 – są dostępne, aby wykonać większość pracy za Ciebie.
sformatowane i w pełni konfigurowalne szablony zawierają wskazówki ekspertów, które pomogą każdej organizacji spełnić wszystkie wymagania dokumentacji ISO 27001.
Standard wymaga co najmniej następującej dokumentacji:
- zakres ISMS
- polityka bezpieczeństwa informacji
- proces oceny ryzyka bezpieczeństwa informacji
- proces leczenia ryzyka bezpieczeństwa informacji
- Oświadczenie o stosowaniu
- cele bezpieczeństwa informacji
- dowód kompetencji
- udokumentowane informacje określone przez organizację jako niezbędne dla skuteczności iSMS
- planowanie operacyjne i kontrola
- wyniki oceny ryzyka bezpieczeństwa informacji
- wyniki ryzyka bezpieczeństwa informacji leczenie
- dowody monitorowania i pomiaru wyników
- udokumentowany proces audytu wewnętrznego
- dowody programów audytu i wyników audytu
- dowody wyników przeglądów zarządzania
- dowody charakteru niezgodności i wszelkich późniejszych działań podjętych
- dowody wyników wszelkich podjętych działań naprawczych
pomiar, monitorowanie i przegląd
ISO 27001 wspiera proces ciągłego doskonalenia. Wymaga to, aby wydajność ISMS była stale analizowana i weryfikowana pod kątem skuteczności i zgodności, a także identyfikowania ulepszeń istniejących procesów i kontroli.
przeprowadzenie audytu wewnętrznego
ISO/IEC 27001: 2013 wymaga audytów wewnętrznych ISMS w planowanych odstępach czasu. Praktyczna znajomość procesu audytu lead jest również kluczowa dla menedżera odpowiedzialnego za wdrażanie i utrzymywanie zgodności z normą ISO 27001.
kurs Online Certified ISO 27001 Lead Auditor uczy, jak zaplanować i przeprowadzić skuteczny audyt bezpieczeństwa informacji zgodnie z ISO 27001: 2013.
uczy również kierowania zespołem audytorów i przeprowadzania audytów zewnętrznych. Jeśli nie wybrano jeszcze rejestratora, może być konieczne wybranie odpowiedniej organizacji do tego celu.
audyty rejestracyjne (w celu uzyskania akredytowanej rejestracji, uznawanej na całym świecie) mogą być przeprowadzane wyłącznie przez niezależnego rejestratora akredytowanego przez odpowiedni organ akredytacyjny w Twoim kraju.
audyty rejestracyjne/certyfikacyjne
podczas pierwszego etapu audytu audytor oceni, czy Twoja dokumentacja spełnia wymagania normy ISO 27001. Wskażą również wszelkie obszary niezgodności i potencjalnej poprawy systemu zarządzania.
po wprowadzeniu wymaganych zmian Twoja organizacja będzie gotowa na audyt rejestracji etapu 2.
audyt certyfikacyjny
podczas drugiego etapu audytu audytor przeprowadzi szczegółową ocenę w celu ustalenia, czy spełniasz wymagania normy ISO 27001.
ile czasu zajmie uzyskanie certyfikatu?
proces wdrożenia ISO 27001 zależy od wielkości i złożoności systemu zarządzania, ale w większości przypadków małe i średnie organizacje mogą spodziewać się zakończenia procesu w ciągu 6-12 miesięcy.
wsparcie certyfikacji z IT Governance Polska
czy jesteś gotowy, aby rozpocząć projekt ISO 27001? Jeśli tak, to nasz asortyment pakietów wdrożeniowych jest idealnym punktem wyjścia.
dzięki połączeniu narzędzi, oprogramowania, przewodników i szkoleń opartych na kwalifikacjach oraz do 40 godzin konsultacji online otrzymasz porady ekspertów, których potrzebujesz, aby spełnić wymagania Twojej organizacji.
pomogą Ci zredukować czas i wysiłek potrzebny do wdrożenia ISMS, a także wyeliminować koszty pracy doradczej, podróży i innych wydatków związanych z tradycyjnym doradztwem.
wersja tego bloga została pierwotnie opublikowana 13 marca 2019 roku.