ISO 27001 diegimas ir pasirengimas sertifikavimo auditui

ISO/IEC 27001 yra tarptautinis informacijos saugumo valdymo standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai (ISMS) sukurti, įgyvendinti, palaikyti ir nuolat gerinti. Standartas apima rizikų vertinimą, saugumo kontrolės priemones ir organizacinius procesus, padedančius apsaugoti informaciją nuo grėsmių.

ISMS – tai organizacijos politikų, procesų, procedūrų ir kontrolės priemonių visuma, skirta sistemingai valdyti informacijos saugumo riziką. Tinkamai veikianti ISMS leidžia nuolat stebėti, vertinti ir mažinti riziką, o ne valdyti ją vienkartiniais, nesusietais veiksmais.

Diegimo kaina priklauso nuo organizacijos dydžio, veiklos sudėtingumo, esamos informacijos saugumo būklės ir reikalingos konsultacijų apimties. Tiksli kaina nustatoma po pirminio situacijos įvertinimo – pirminė konsultacija yra nemokama.

Diegimo trukmė vidutinei organizacijai paprastai svyruoja nuo 3 iki 9 mėnesių, priklausomai nuo organizacijos pasirengimo, vidinių resursų ir proceso sudėtingumo. Procesas apima situacijos vertinimą, rizikų vertinimą, dokumentacijos parengimą, įgyvendinimą, vidaus auditą ir pasirengimą sertifikavimo auditui.

ISO 27001 pats savaime yra savanoriškas standartas, tačiau praktiškai jis tampa būtinas vis daugiau organizacijų – dėl klientų reikalavimų, viešųjų pirkimų sąlygų arba sąsajų su tokiais teisės aktais kaip NIS2 direktyva. Net jei standartas formaliai neprivalomas, jo įgyvendinimas dažnai yra geriausias būdas atitikti platesnius kibernetinio saugumo reikalavimus.

Sertifikavimo auditą atlieka tik nepriklausoma, akredituota sertifikavimo įstaiga, o ne konsultacinė įmonė. AuditPartner padeda organizacijoms pasirengti šiam auditui, tačiau patį sertifikavimą vykdo atskiras, nepriklausomas subjektas, kad būtų užtikrintas objektyvumas.

Ne. AuditPartner yra konsultacinė įmonė, padedanti organizacijoms įdiegti ISO 27001 reikalavimus ir pasirengti sertifikavimo auditui, tačiau ISO 27001 sertifikatus išduoda tik nepriklausomos, akredituotos sertifikavimo įstaigos. Šis atskyrimas yra esminis principas, užtikrinantis sertifikavimo proceso objektyvumą.

Sertifikavimo auditas dažniausiai vyksta dviem etapais: pirmajame sertifikavimo įstaiga įvertina ISMS dokumentaciją ir pasirengimą, antrajame – tikrina, kaip sistema veikia praktiškai. Tinkamai pasirengusi organizacija prie šio proceso prieina po vidaus audito ir reikiamų korekcinių veiksmų atlikimo.

Vidaus auditas yra privalomas ISO 27001 reikalavimas ir turi būti atliekamas reguliariai, paprastai bent kartą per metus, dar prieš sertifikavimo auditą. Jo tikslas – savarankiškai patikrinti, ar ISMS veikia taip, kaip numatyta, ir nustatyti neatitiktis anksčiau, nei jas pastebėtų išorinis auditorius.

Rizikų vertinimas apima informacijos turto identifikavimą, galimų grėsmių ir pažeidžiamumų analizę, rizikos lygio nustatymą ir rizikos valdymo plano parengimą. Šis procesas yra ISMS pagrindas – nuo jo rezultatų priklauso, kokios saugumo kontrolės priemonės bus įgyvendinamos.

Konsultacijos – tai pagalba įdiegiant ISMS, parengiant dokumentaciją ir pasirengiant auditui, kurią teikia tokios įmonės kaip AuditPartner. Sertifikavimas – tai nepriklausomas, formalus įvertinimas, kurio metu akredituota sertifikavimo įstaiga patvirtina, ar organizacija atitinka standarto reikalavimus. Šios dvi funkcijos visada turi būti atskirtos.

Procesas pradedamas nemokama pirmine konsultacija, kurios metu aptariame organizacijos veiklą, dabartinę informacijos saugumo būklę ir tikslus. Po to pasiūlome individualų diegimo planą su konkrečiais etapais, terminais ir aiškiai apibrėžtais rezultatais.