ISO 27001 – bezpieczeństwo informacji z systemem
Wiodący na świecie standard dla systemów zarządzania bezpieczeństwem informacji. Budujemy Twój ISMS zgodnie z ISO/IEC 27001:2022 i prowadzimy Cię aż do akredytowanej certyfikacji – systematycznie, w oparciu o ryzyko i z gwarancją przejścia audytu.
Zabezpieczenia (Annex A)
Kategorie tematyczne
Klauzule normatywne
Cykl certyfikacji
Podstawy
Czym jest ISO/IEC 27001?
ISO/IEC 27001 to międzynarodowy standard dla systemów zarządzania bezpieczeństwem informacji (ISMS). Określa wymagania dotyczące ustanowienia, eksploatacji i ciągłego doskonalenia systemu, za pomocą którego organizacje systematycznie zarządzają ryzykiem w zakresie bezpieczeństwa informacji. Aktualnym wydaniem jest wersja 2022, uzupełniona o Amendment 1:2024 (odniesienie do zmian klimatu).
-
Uznawany na całym świecie
-
Najczęściej stosowany na świecie standard ISMS – niezależny od branży i wielkości, uznawany przez klientów, partnerów i w przetargach.
-
Oparty na ryzyku
-
Zabezpieczenia dobierane są według ryzyka, a nie na zasadzie ogólnej – udokumentowane w planie postępowania z ryzykiem oraz w Statement of Applicability.
-
Certyfikowalny
-
Akredytowany certyfikat (poprzez jednostki akredytowane przez DAkkS) potwierdza wobec osób trzecich realnie stosowane bezpieczeństwo informacji.
-
Dowód dla NIS2
-
ISMS zgodny z ISO 27001 pokrywa znaczną część obowiązków w zakresie zarządzania ryzykiem wynikających z § 30 BSIG i służy jako dowód.
Zabezpieczenia
Annex A: 93 kontrole bezpieczeństwa w 4 obszarach
Wydanie 2022 porządkuje kontrole bezpieczeństwa w cztery obszary tematyczne. O tym, które zabezpieczenia mają zastosowanie, decyduje ocena ryzyka – ze szczegółowymi wskazówkami w ISO/IEC 27002:2022.
Organizacyjne
Polityki, role, dostawcy, chmura, zarządzanie incydentami i zgodność
Osobowe
Świadomość, odpowiedzialności i bezpieczne zachowanie pracowników
Fizyczne
Dostęp, zabezpieczanie obszarów, sprzętu i nośników danych
Technologiczne
Dostęp, kryptografia, hartowanie, monitorowanie i bezpieczne tworzenie oprogramowania
Nie wszystkie 93 zabezpieczenia muszą zostać wdrożone – wybór jest oparty na ryzyku, a ewentualny brak zastosowania uzasadnia się w Statement of Applicability (SoA).
Budowa ISMS
Klauzule 4 do 10 – wymagania normy
Wymagania normatywne podążają za cyklem PDCA – od analizy kontekstu aż po ciągłe doskonalenie.
Droga do certyfikatu
Audyt etapu 1
Przegląd dokumentacji: czy ISMS został zbudowany zgodnie z normą i jest gotowy do audytu?
Audyt etapu 2
Ocena skuteczności na miejscu: czy ISMS jest realnie stosowany w praktyce?
Certyfikat
Wydawany przez jednostkę akredytowaną przez DAkkS – ważny przez trzy lata
Audyty nadzoru
Coroczne audyty w roku 1 i 2 potwierdzają utrzymanie zgodności
Recertyfikacja
Pełny audyt po trzech latach w celu odnowienia certyfikatu
ISO 27001, IT-Grundschutz i NIS2
ISO 27001 można powiązać z BSI IT-Grundschutz za pomocą oficjalnej tabeli mapowania BSI i służy ona jako dowód spełnienia obowiązków w zakresie zarządzania ryzykiem wynikających z NIS2 / BSIG 2025.
Nasze usługi
Kompleksowe wsparcie dla ISO 27001
Od analizy luk po certyfikat – wspieramy Cię przez cały cykl.
Analiza luk
Porównanie stanu docelowego ze stanem faktycznym względem wszystkich wymagań ISO/IEC 27001:2022.
- Ocena klauzul 4–10
- Przegląd zabezpieczeń Annex A
- Priorytetowy plan wdrożenia
Wdrożenie ISMS
Zaprojektowanie i wdrożenie kompletnego ISMS.
- Polityka, RTP & SoA
- Zarządzanie & role
- Integracja z ISO 9001 / 22301
Ocena ryzyka
Metodyczna identyfikacja, analiza i postępowanie z ryzykiem.
- Zdefiniowanie kryteriów oceny
- Identyfikacja ryzyka
- Plan postępowania z ryzykiem
Wdrożenie Annex A
Wybór i wdrożenie odpowiednich zabezpieczeń.
- Statement of Applicability
- Szablony polityk
- Zabezpieczenia chmury & threat-intel
Audyty wewnętrzne
Zgodne z normą audyty wewnętrzne przygotowujące do audytu certyfikacyjnego.
- Plan audytu & listy kontrolne
- Przeprowadzane zgodnie z ISO 19011
- Raport z audytu & działania
Wsparcie w certyfikacji
Przygotowanie do audytów etapu 1 i etapu 2 oraz wsparcie w ich trakcie.
- Przegląd dokumentacji
- Kontakt z audytorem
- Śledzenie niezgodności
Dlaczego DLAU dla ISO 27001?
Sami certyfikowani
DLAU posiada certyfikaty ISO 27001 i ISO 9001 – znamy audyt z własnego doświadczenia
Aktualne wydanie
Konsekwentnie zgodnie z ISO/IEC 27001:2022 wraz z Amendment 1:2024
Pomost do IT-Grundschutz
Także ISO 27001 w oparciu o IT-Grundschutz z jednego źródła
Gotowość na NIS2
ISMS jako solidny dowód wobec BSI
Gotowi na certyfikację ISO 27001?
Doprowadzimy Cię systematycznie do ISO/IEC 27001:2022 – od analizy luk, przez wdrożenie ISMS, aż po zdany audyt certyfikacyjny.
Powiązane: Standardy bezpieczeństwa IT · IT-Grundschutz · NIS2