Rozwiązanie: Information Security Certification | ISO 27001
Solution: Information Security Certification | ISO 27001
TÜV AUSTRIA Information Security Certification according to ISO 27001
W jakim regionie potrzebne jest to rozwiązanie?
- Wszystkie regiony
ISO 27001 certification procedure
- 1.
Information interview
- 2.
Commissioning
- 3.
Pre-Audit (optional)
- 4.
Certification Stage 1
- 5.
Certification Stage 2
- 6.
TÜV AUSTRIA certificate
- 7.
Surveillance Audit
- 8.
Re-Certification Audit
Fachliche Aus- und Weiterbildung
Akredytacja
Informacje ogólne ISO 27001
Szybko postępująca transformacja cyfrowa niesie ze sobą zarówno szanse, jak i zagrożenia, zwłaszcza w sektorze technologii informatycznych. Ryzyka obejmują poważne zagrożenia, takie jak ataki hakerów, globalne ataki wirusów, nieprzewidywalne utraty danych lub niewłaściwe wykorzystanie poufnych informacji, które stanowią ważną podstawę działalności biznesowej. Scenariusze te mogą stać się poważnym zagrożeniem dla procesów operacyjnych IT, a w najgorszym przypadku nawet sparaliżować całą działalność biznesową. ISO 27001 (arkusz informacyjny), jedyny międzynarodowy standard bezpieczeństwa informacji, pomaga konkretnie identyfikować i minimalizować te zagrożenia poprzez systematyczne i ustrukturyzowane podejście.
Norma umożliwia firmom i organizacjom dowolnej wielkości i z dowolnej branży wdrażanie i ciągłą ocenę bezpieczeństwa informacji.
Warunkiem tego jest udokumentowany system zarządzania bezpieczeństwem informacji wdrożony w organizacji. ISO 27001 w większym stopniu uwzględnia obszar zarządzania ryzykiem. Na podstawie oceny ryzyka (zwanej również analizą ryzyka) stosuje się „zastosowanie środków kontroli bezpieczeństwa” z załącznika A (14 sekcja) normy, aby ograniczyć nieakceptowane ryzyko.
Twój certyfikat jest ważny przez trzy lata i może być wykorzystywany do celów reklamowych zgodnie z regulaminem certyfikacji.
Możesz swobodnie używać logo certyfikacji np. na papeterii firmowej, stronie internetowej (związanej z Twoją organizacją). Użycie logo musi zostać zatwierdzone/potwierdzone przez jednostkę certyfikującą ze względów prawnych.
Dodatkowe korzyści
Twoje korzyści we współpracy z Grupą TÜV AUSTRIA:
- Certyfikat ISO 27001 zwiększa bezpieczeństwo danych w Twojej firmie. Standard aktywnie pomaga chronić poufne dane przed niewłaściwym dostępem, utratą danych lub atakami hakerów. Zapewnia również szybką regenerację po tego typu ataku.
- Ustrukturyzowany i uznany na całym świecie system zarządzania bezpieczeństwem informacji pomaga w odpowiednim czasie identyfikować bezpośrednie zagrożenia i je redukować.
- ISO 27001 umożliwia sprostanie zewnętrznym wymaganiom (np. ryzyko operacyjne w ramach Basel II). System zarządzania bezpieczeństwem informacji uwzględnia trzy cele ochrony informatycznej informacji: poufność, dostępność i integralność.
- Dzięki certyfikacji RZECZYWISTA sytuacja operacyjna jest stale analizowana i w razie potrzeby może być optymalizowana i dostosowywana do sytuacji POŻĄDANEJ. Prowadzi to do ciągłego doskonalenia procesów wewnętrznych.
- Holistyczne podejście systemu zarządzania gwarantuje, że standard jest realizowany w praktyce i można go łatwo zintegrować z codzienną pracą. Wymagana jest odpowiedzialność kierownictwa, regularne szkolenia i audyty wewnętrzne.
Procedura certyfikacji ISO 27001
Proces certyfikacji trwa zwykle od trzech do pięciu tygodni. Już podczas planowania bierzemy pod uwagę Twoje indywidualne potrzeby i pilność certyfikacji. Dokładny nakład pracy, czas trwania i koszty ustalimy wspólnie z Państwem przed procesem certyfikacji. Dlatego każdy proces certyfikacji rozpoczyna się od spotkania wstępnego.
1. Spotkanie wstępne
Procedurę uzyskania Twojego certyfikatu wyjaśnimy podczas niezobowiązującego i bezpłatnego spotkania. Wśród tych kwestii, które zostaną wyjaśnione na tym spotkaniu, są:
- Podstawowe wymagania dotyczące Twojej certyfikacji
- Cele i korzyści z certyfikacji
- Porównanie danych biznesowych i określenie zakresu certyfikacji
- Omówienie Twoich konkretnych potrzeb i życzeń
- Określenie kolejnych kroków niezbędnych do certyfikacji
Następnie otrzymasz indywidualną ofertę dostosowaną do Twojej organizacji.
2. Rozpoczęcie procesu certyfikacji
Jeśli nasza oferta spotka się z Państwa akceptacją, startuje proces certyfikacji. Po otrzymaniu potwierdzenia zamówienia proces certyfikacji rozpoczyna się od wspólnego uzgodnienia harmonogramu z odpowiedzialnym audytorem lub audytorami.
3. Audut wstępny (opcjonalnie)
Audyt wstępny może zostać przeprowadzony na żądanie. Nie jest to jednak niezbędny wymóg certyfikacji.
Audytem zostaną objęte określone obszary i/lub procesy lub ogólna sytuacja w Twojej organizacji na podstawie wspólnie określonych uzgodnień. Tutaj zostaną zidentyfikowane wszelkie słabe punkty w dokumentacji i implementacji systemu. Po audycie wstępnym, jednostka może dostarczyć na żądanie raport stanu dotyczący możliwości certyfikacji oraz szczegółową ekspertyzę dotyczącą poszczególnych procesów lub zgodności z indywidualnymi wymaganiami odpowiedniej normy. Metoda audytu odpowiada audytowi certyfikującemu.
4. Audyt certyfikujący – faza 1
Faza 1 służy do ustalenia, czy organizacja kwalifikuje się do certyfikacji. Oceniane są warunki specyficzne dla danej lokalizacji i gromadzone są wszelkie niezbędne informacje dotyczące zakresu. Faza 1 dotyczy przede wszystkim następujących głównych punktów:
- Weryfikacja dokumentacji pod kątem zgodności i kompletności w stosunku do wymagań normy.
- Stan wdrożenia systemu zarządzania w przedsiębiorstwie: Czy obecny zarząd i poziom wdrożenia systemu zarządzania w organizacji pozwala co do zasady na certyfikację, czy też brakuje istotnych szczegółów?
Przed przeprowadzeniem audytu fazy 2, na podstawie zdobytej wiedzy o Twojej organizacji i systemie zarządzania, zostanie z Państwem opracowany i uzgodniony z Państwem plan audytu dla właściwego audytu certyfikującego.
5. Audyt certyfikujący – faza 2
Podczas fazy 2 audytu zweryfikowana zostanie skuteczność funkcjonującego w Twojej firmie systemu zarządzania. Zostaną przeprowadzone wyrywkowe kontrole pod kątem wszystkich wymagań w działach i jednostkach organizacyjnych oraz wzdłuż łańcucha procesów.
Podsatwami przeprowadzenia audytu są:
- Plan audytu
- Odpowiednia norma certyfikacyjna i/lub określone w niej indywidualne wymagania normowe
- Wewnętrzne dokumenty organizacji
- Zasady ogólne i branżowe (przepisy prawne, dodatkowe, branżowe, niezbędne normy,..).
- Po analizie i ocenie wyników zostaniesz poinformowany o wyniku audytu oraz ewentualnych brakach lub odchyleniach podczas przeglądu końcowego. W przypadku uchybień zostaną określone środki naprawcze. Następnie zespół audytowy dokona analizy przyczyny źródłowej oraz działań korygujących i zapowbiegawczych.
6. Certyfikat TÜV AUSTRIA
Certfikat zostanie wydany przez jednostkę certyfikującą TÜV AUSTRIA po audycie z wynikiem pozytywnym i sporządzeniu raportu. O ile spełnione zostały następujące wymagania certyfikacyjne, nie ma powodu, dla którego certyfikat nie miałby zostać wydany niezwłocznie:
- Dokumentacja i wdrożenie systemu zarządzania
- Umowa certyfikacyjna (potwierdzenie oferty certyfikacyjnej, regulamin certyfikacji oraz OWU)
- Pozytywny wynik audytu, a tym samym odpowiednia rekomendacja zespołu audytowego dla jednostki certyfikującej
Certyfikat będzie wydawany na okres 3 lat. Aby zachować ważność certyfikatu przez cały okres jego obowiązywania, należy przeprowadzić coroczny audyt nadzoru z pozytywnym wynikiem (12 miesięcy i 24 miesiące po wydaniu certyfikatu).
7. Audyt nadzoru
Coroczny audyt nadzoru weryfikuje skuteczność i dalszy rozwój systemu zarządzania poprzez wyrywkowe pobieranie próbek. Audyty nadzoru są krótsze niż normalny audyt i obejmują braki wykryte podczas ostatniego audytu wraz z różnymi kluczowymi punktami wymagań normy.
8. Audyt re-certyfikujący
Audyt re-certyfikujący należy przeprowadzić, zanim certyfikat straci ważność (zwykle po trzech latach). W audycie recertyfikującym (często nazywanym również audytem powtórnym) wyrywkowo sprawdzane są wszystkie wymagania, tak samo jak w audycie certyfikującym. Nakład pracy związany z powtórnym audytem certyfikacyjnym jest mniejszy niż w przypadku certyfikacji początkowej (ok. 2/3 czasu potrzebnego na audyt wstępny).
Po pozytywnej decyzji w sprawie certyfikacji wydany zostanie nowy certyfikat ważny przez kolejne trzy lata, który również musi zostać potwierdzony corocznym audytem nadzoru.