Požadavky na dosažení certifikace ISO 27001

Ačkoli je ISO 27001 postaven na implementaci kontrol zabezpečení informací, žádný z nich není obecně shoda povinná.

Je to proto, že standard uznává, že každá organizace bude mít při vývoji ISMS své vlastní požadavky a že ne všechny ovládací prvky budou vhodné.

Místo toho jsou organizace povinny provádět činnosti, které informují o jejich rozhodnutích ohledně toho, které ovládací prvky implementovat. V tomto blogu vysvětlíme, co tyto procesy znamenají a jak je můžete dokončit.

Povinné požadavky na certifikaci

Dvě nejdůležitější činnosti při implementaci ISO 27001 jsou:

  • Zaměření vašeho ISMS (článek 4.3), ve kterém definujete, jaké informace je třeba chránit; a
  • Provedení posouzení rizik a stanovení metodiky léčby rizik (bod 6.12), ve které identifikujete ohrožení vašich informací.

Organizace jsou rovněž povinny vyplnit následující povinná ustanovení:

  • Zásady a cíle informační bezpečnosti (články 5.2 a 6.2)
  • Proces léčby informačních rizik (článek 6.1.3)
  • Plán léčby rizik (body 6.1.3 e a 6.2)
  • Zpráva o posouzení rizik (bod 8.2)
  • záznamy o školení, dovednostech, zkušenostech a kvalifikacích (bod 7.2)
  • Výsledky monitorování a měření (bod 9.1)
  • Program interního auditu (bod 9.2)
  • Výsledky interních auditů (bod 9.2)
  • Výsledky přezkoumání vedením (článek 9.3)
  • Výsledky nápravných opatření (článek 10.1)

A kontroly podle přílohy A?

Příloha A popisuje kontroly spojené s různými riziky. V závislosti na kontrolách, které vaše organizace vybere, budete také povinni zdokumentovat:

Prohlášení o použitelnosti

Zde se nemůžeme ponořit do podrobností všech těchto procesů ( můžete se podívat na naše webové stránky, kde najdete další informace), ale stojí za to zdůraznit SoA (prohlášení o použitelnosti), základní dokumentaci v procesu zpracování informačního rizika.

SoA nastiňuje, která příloha A ovládací prvky, které jste vybrali nebo vynechali, a vysvětluje, proč jste provedli tyto volby. Mělo by také obsahovat další informace o každém ovládacím prvku a odkaz na příslušnou dokumentaci o jeho implementaci.

Řešení procesu dokumentace

Při zahájení projektu dodržování předpisů si všimnete, že dokumentace proces je mnohem časově náročnější než implementace samotných požadavků.

Každá klauzule má své vlastní požadavky na dokumentaci, což znamená, že IT manažeři a implementátoři se budou muset vypořádat se stovkami dokumentů. Každá politika a postup musí být prozkoumány, vyvinuty, schváleny a implementovány, což může trvat měsíce.

Usnadnění procesu dokumentace

Organizace mohou zjednodušit proces shody s naší dokumentací ISO 27001 ISMS Sada nástrojů.

Tato sada přizpůsobitelných šablon vyvinutá odborníky na ISO 27001 vám pomůže splnit požadavky normy na dokumentaci s co nejmenšími potížemi.

Dokumentaci můžete vložit přímo do svého organizace, což vám ušetří čas a peníze, a díky přístupu k podpoře po dobu 12 měsíců si můžete být jisti odbornou pomocí, pokud si nejste jisti, co se týká procesu dokumentace ISO 27001.

Další informace o dokumentační sadě ISO 27001 ISMS > >

Verze tohoto blogu byla původně publikována 24. března 2016.

Doporučené čtení:

  • Kolik ovládacích prvků obsahuje norma ISO 27001?

Write a Comment

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *