Przejdź do treści głównej
Międzynarodowy standard ISMS

ISO 27001 – bezpieczeństwo informacji z systemem

Wiodący na świecie standard dla systemów zarządzania bezpieczeństwem informacji. Budujemy Twój ISMS zgodnie z ISO/IEC 27001:2022 i prowadzimy Cię aż do akredytowanej certyfikacji – systematycznie, w oparciu o ryzyko i z gwarancją przejścia audytu.

93

Zabezpieczenia (Annex A)

4

Kategorie tematyczne

4–10

Klauzule normatywne

3 lata

Cykl certyfikacji

Podstawy

Czym jest ISO/IEC 27001?

ISO/IEC 27001 to międzynarodowy standard dla systemów zarządzania bezpieczeństwem informacji (ISMS). Określa wymagania dotyczące ustanowienia, eksploatacji i ciągłego doskonalenia systemu, za pomocą którego organizacje systematycznie zarządzają ryzykiem w zakresie bezpieczeństwa informacji. Aktualnym wydaniem jest wersja 2022, uzupełniona o Amendment 1:2024 (odniesienie do zmian klimatu).

Uznawany na całym świecie

Najczęściej stosowany na świecie standard ISMS – niezależny od branży i wielkości, uznawany przez klientów, partnerów i w przetargach.

Oparty na ryzyku

Zabezpieczenia dobierane są według ryzyka, a nie na zasadzie ogólnej – udokumentowane w planie postępowania z ryzykiem oraz w Statement of Applicability.

Certyfikowalny

Akredytowany certyfikat (poprzez jednostki akredytowane przez DAkkS) potwierdza wobec osób trzecich realnie stosowane bezpieczeństwo informacji.

Dowód dla NIS2

ISMS zgodny z ISO 27001 pokrywa znaczną część obowiązków w zakresie zarządzania ryzykiem wynikających z § 30 BSIG i służy jako dowód.

Zabezpieczenia

Annex A: 93 kontrole bezpieczeństwa w 4 obszarach

Wydanie 2022 porządkuje kontrole bezpieczeństwa w cztery obszary tematyczne. O tym, które zabezpieczenia mają zastosowanie, decyduje ocena ryzyka – ze szczegółowymi wskazówkami w ISO/IEC 27002:2022.

37
A.5

Organizacyjne

Polityki, role, dostawcy, chmura, zarządzanie incydentami i zgodność

8
A.6

Osobowe

Świadomość, odpowiedzialności i bezpieczne zachowanie pracowników

14
A.7

Fizyczne

Dostęp, zabezpieczanie obszarów, sprzętu i nośników danych

34
A.8

Technologiczne

Dostęp, kryptografia, hartowanie, monitorowanie i bezpieczne tworzenie oprogramowania

Nie wszystkie 93 zabezpieczenia muszą zostać wdrożone – wybór jest oparty na ryzyku, a ewentualny brak zastosowania uzasadnia się w Statement of Applicability (SoA).

Budowa ISMS

Klauzule 4 do 10 – wymagania normy

Wymagania normatywne podążają za cyklem PDCA – od analizy kontekstu aż po ciągłe doskonalenie.

4 Kontekst organizacji Plan
5 Przywództwo Plan
6 Planowanie (ocena ryzyka) Plan
7 Wsparcie Plan
8 Działania operacyjne Do
9 Ocena wyników Check
10 Doskonalenie Act

Droga do certyfikatu

1

Audyt etapu 1

Przegląd dokumentacji: czy ISMS został zbudowany zgodnie z normą i jest gotowy do audytu?

2

Audyt etapu 2

Ocena skuteczności na miejscu: czy ISMS jest realnie stosowany w praktyce?

3

Certyfikat

Wydawany przez jednostkę akredytowaną przez DAkkS – ważny przez trzy lata

4

Audyty nadzoru

Coroczne audyty w roku 1 i 2 potwierdzają utrzymanie zgodności

5

Recertyfikacja

Pełny audyt po trzech latach w celu odnowienia certyfikatu

ISO 27001, IT-Grundschutz i NIS2

ISO 27001 można powiązać z BSI IT-Grundschutz za pomocą oficjalnej tabeli mapowania BSI i służy ona jako dowód spełnienia obowiązków w zakresie zarządzania ryzykiem wynikających z NIS2 / BSIG 2025.

Nasze usługi

Kompleksowe wsparcie dla ISO 27001

Od analizy luk po certyfikat – wspieramy Cię przez cały cykl.

Analiza luk

Porównanie stanu docelowego ze stanem faktycznym względem wszystkich wymagań ISO/IEC 27001:2022.

  • Ocena klauzul 4–10
  • Przegląd zabezpieczeń Annex A
  • Priorytetowy plan wdrożenia

Wdrożenie ISMS

Zaprojektowanie i wdrożenie kompletnego ISMS.

  • Polityka, RTP & SoA
  • Zarządzanie & role
  • Integracja z ISO 9001 / 22301

Ocena ryzyka

Metodyczna identyfikacja, analiza i postępowanie z ryzykiem.

  • Zdefiniowanie kryteriów oceny
  • Identyfikacja ryzyka
  • Plan postępowania z ryzykiem

Wdrożenie Annex A

Wybór i wdrożenie odpowiednich zabezpieczeń.

  • Statement of Applicability
  • Szablony polityk
  • Zabezpieczenia chmury & threat-intel

Audyty wewnętrzne

Zgodne z normą audyty wewnętrzne przygotowujące do audytu certyfikacyjnego.

  • Plan audytu & listy kontrolne
  • Przeprowadzane zgodnie z ISO 19011
  • Raport z audytu & działania

Wsparcie w certyfikacji

Przygotowanie do audytów etapu 1 i etapu 2 oraz wsparcie w ich trakcie.

  • Przegląd dokumentacji
  • Kontakt z audytorem
  • Śledzenie niezgodności

Dlaczego DLAU dla ISO 27001?

Sami certyfikowani

DLAU posiada certyfikaty ISO 27001 i ISO 9001 – znamy audyt z własnego doświadczenia

Aktualne wydanie

Konsekwentnie zgodnie z ISO/IEC 27001:2022 wraz z Amendment 1:2024

Pomost do IT-Grundschutz

Także ISO 27001 w oparciu o IT-Grundschutz z jednego źródła

Gotowość na NIS2

ISMS jako solidny dowód wobec BSI

Gotowi na certyfikację ISO 27001?

Doprowadzimy Cię systematycznie do ISO/IEC 27001:2022 – od analizy luk, przez wdrożenie ISMS, aż po zdany audyt certyfikacyjny.

Powiązane: Standardy bezpieczeństwa IT · IT-Grundschutz · NIS2