Čo je to ISO/IEC 27001:2022 a na čo slúži systém manažérstva informačnej bezpečnosti

Systém manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022 (ISMS - Information Security Management System) hovorí o riadení všetkých procesov v spoločnosti tak, aby sa dosiahla žiadaná úroveň bezpečnosti používaných informácií, neustále zlepšovanie, rast spoločnosti ako aj celkové chránenie know-how. V súvislosti s informačnou bezpečnosťou sa posudzujú možné riziká, ktoré vplývajú na spoločnosť ako celok a napádajú jej stabilitu. Tento systém vedie k zamysleniu sa nad tým, ktoré dôležité informácie treba chrániť a kde je hranica akceptovateľnosti definovaných rizík.

Naše portfólio služieb v oblasti ISMS

So systémom manažérstva informačnej bezpečnosti pracujeme viac ako jedno desaťročie. Táto norma sa transformovala z britského štandardu BS7799-2:2002 na ISO normu v roku 2005, v roku 2013 vyšla jej prvá revízia a v roku 2022 druhá revízia, ktorá je platná aj v súčasnosti. Táto norma nie je určená len spoločnostiam, ktoré sa zaoberajú informačnými technológiami. Pravidlá informačnej bezpečnosti môže mať implementované každá spoločnosť, ktorá si váži a chce chrániť svoje dôležité a dôverné informácie a dáta. Skúsenosti máme z rôznych oblastí ako napríklad výrobných spoločností, finančných inštitúcií alebo spoločností poskytujúcich služby. Základom úspešnej implementácie ISMS je kvalitná analýza procesov spoločnosti, identifikovanie dôverných informácií, ktoré je nutné chrániť a pochopenie vzťahov a súvislostí v spoločnosti, ktoré sú vlastné iba jej samej. Každú spoločnosť teda berieme ako jedinečnú a svoj prístup prispôsobujeme jej potrebám.

1
Poradenstvo pri zavádzaní ISMS
poradenstvo pri zavádzaní systému manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022 zahŕňa analýzu aktuálneho stavu vašich procesov v porovnaní s požiadavkami normy a ich uvedenie do vzájomného súladu
2
Vytvorenie dokumentácie ISMS
súčasťou systému manažérstva informačnej bezpečnosti je aj vytvorenie a riadenie dokumentácie vyžadovanej touto normou, resp.dokumentácie potrebnej pre vaše činnosti
3
Výkon interných auditov ISMS vo vašej spoločnosti
jedna časť požiadaviek normy ISO/IEC 27001 je výkon interných auditov, ktoré pomáhajú odhaľovať slabé miesta v procesoch a umožňujú ich elimináciu, resp. minimalizáciu prostredníctvom nápravných činností
4
Kvalifikované vyškolenie vašich interných audítorov a manažéra informačnej bezpečnosti
požiadavka normy na výkon interných auditov v spoločnosti môže byť pokrytá aj internými ľudskými zdrojmi, postačí ich kvalifikované zaškolenie a prax v oblasti výkonu interných auditov
5
Zaškolenie top manažmentu v oblasti ISMS
top manažment spoločnosti hrá dôležitú úlohu v každom systéme manažérstva informačnej bezpečnosti, a preto zaškolenie o jeho zodpovednostiach, právomociach a celkovom povedomí je významnou súčasťou ISMS
6
Asistencia pri certifikačných auditoch
cieľom implementácie ISMS býva spravidla získanie certifikátu v tejto oblasti, čomu predchádzajú certifikačné audity vykonávané akreditovanými certifikačnými orgánmi
7
Poradenstvo pri udržiavaní ISMS
počas platnosti akreditovaného certifikátu ISMS (3 roky) je potrebné preukázať certifikačnému orgánu udržiavanie a zlepšovanie systému manažérstva informačnej bezpečnosti v spoločnosti počas každoročného dohľadového auditu
8
Výkon ISMS auditov vašich dodávateľov
spoločnosti, ktoré majú zavedený a certifikovaný systém manažérstva informačnej bezpečnosti spravidla vyžadujú dodržiavanie pravidiel tejto normy aj u svojich dodávateľov; jeden z nástrojov ako hodnotiť úroveň dodržiavania týchto pravidiel je tzv. "zákaznícky audit"