production 6303412 - PN-EN ISO/IEC 27001:2017-06

ECJiP zajmuje się certyfikacją Systemu Zarządzania Jakością ISO 27001 od ponad 10 lat. Zapewniamy możliwość uzyskania certyfikatu PN-EN ISO 27001:2022 po pomyślnym wdrożeniu systemu zarządzaniu jakością. Certyfikat ISO 27001 stanowi obiektywne potwierdzenie zorientowania procesów Twojej organizacji na osiągnięcie wysokiej jakości.

Korzyści z wdrożenia
i certyfikacji
ISO 27001

Aktywna ochrona informacji
Wprowadzenie sprawdzonych procedur poufności
Wprowadzenie sprawdzonych metod zabezpieczania, przetwarzania oraz nadzoru informacji
Zapewnienie bezpiecznego dostępu do informacji osobom upoważnionym
Wdrożenie podejścia opartego na identyfikacji i kontrolowaniu ryzyka
Wzrost odporności organizacji na incydenty
Zapewnienie ochrony technicznej przed oszustami komputerowymi, atakami hackerskimi oraz próbami wyłudzenia danych
Zwiększenie konkurencyjności (wiele firm podejmuje współpracę wyłącznie z podmiotami posiadającymi certyfikat ISO 27001)
Uniknięcie strat finansowych wynikających z naruszenia zasad bezpieczeństwa informacji

Certyfikat ECJiP stanowi udokumentowany dowód prawidłowo funkcjonującego systemu ISO 27001 w Twojej firmie.

Cena certyfikatu ISO jest kwestią bardzo indywidualną. Koszt wdrożenia certyfikatu zależy od wielu czynników. Główne czynniki wpływające na cenę certyfikacji to wielkość firmy, ilość i stopień złożoności procesów występujących w organizacji oraz liczby zatrudnionych pracowników. Chcesz poznać koszt wdrożenia certyfikatu w Twojej firmie – skontaktuj się z nami!

ikona certfikacja - PN-EN ISO/IEC 27001:2017-06
programy scaled - PN-EN ISO/IEC 27001:2017-06

W największym skrócie można rzec, iż norma ISO/IEC 27001 dotyczy Zarządzania Systemem Bezpieczeństwa Informacji i ma na celu zapewnienie odpowiedniej ochrony przechowywanych oraz przetwarzanych informacji publicznych. Certyfikacji ISO 27001 podlegają przede wszystkim instytucje, takie jak firmy informatyczne, banki, placówki oświatowe i medyczne, a także organizacje administracji publicznej. Celem tych jednostek jest zapewnienie możliwie najwyższego stopnia bezpieczeństwa przetwarzanych informacji w taki sposób, aby były w odpowiedni sposób chronione przed dostępem osób trzecich. Dzięki temu możliwe będzie odpowiednie zabezpieczenie wszelkich poufnych lub ściśle tajnych informacji. W czasie przeprowadzania audytu certyfikującego badany podmiot ma za zadanie przedstawić wszystkie procedury, jakie są wykonywane podczas przetwarzania i przechowywania danych. Dzięki temu możliwe będzie zweryfikowanie poprawności przeprowadzania wszelkich procesów. Docelowo ma to poskutkować możliwie najbardziej zabezpieczonymi informacjami znajdującymi się w danej organizacji. Dzięki sprawdzonym i zweryfikowanym procedurom postępowania określonym w normie ISO 27001 znacząco maleje ryzyko wycieku informacji. Badaniu podlegają przede wszystkim używane systemy informatyczne, ale oprócz tego również obowiązujące procedury.

W załączniku A normy wyróżniono cztery obszary, wpływających na bezpieczeństwo informacji. Są to:

obszar zabezpieczeń organizacyjnych,
obszar zabezpieczeń osób,
obszar zabezpieczeń fizycznych,
obszar zabezpieczeń technologicznych.

Adresatami normy są jak wyżej wspomniano głównie firmy informatyczne, podwykonawcy usług informatycznych, banki, placówki oświatowe i medyczne, organizacje administracji publicznej. Wdrożenie oraz posiadanie certyfikowanego systemu zgodnie z normą PN-ISO 27001:2022-10 przyczynia się do poprawy działalności organizacji poprzez: organicznie popełnianych błędów, zmniejszenie kosztów związanych z brakiem przejrzystości dokumentacji, zapewnienie bezpieczeństwa dla zasobów informatycznych, wzmocnienie budowy zaufania klientów, poprawa kontroli nad zagrożeniami związanymi z zasobami informatycznymi. Posiadanie Certyfikatu ISO 27001:2022-10, w zależności od branży, daje możliwość uzyskania dodatkowych punktów w przetargach, kontraktacji z NFZ oraz ubiegania się o różnego rodzaju dotacje.

Norma ISO 27001 składa się z dwóch głównych części. Jest to część podstawowa, która określa wymagania związane z ustanowieniem i zarządzaniem systemem bezpieczeństwa informacji, a także załącznik A, w którym zdefiniowano główne aspekty mające bezpośredni wpływ na bezpieczeństwo informacji. W czasie certyfikacji ISO 27001 badane są aspekty, takie jak na przykład polityka bezpieczeństwa, bezpieczeństwo zasobów ludzkich, kontrola dostępu, bezpieczeństwo fizyczne i środowiskowe, a także rozwój i utrzymanie systemów. Nie bez znaczenia jest również bezpieczna komunikacja, która definiuje chociażby sposób przekazywania informacji pomiędzy pracownikami konkretnej jednostki organizacyjnej.
Dzięki wdrożeniu normy ISO 27001 możliwe jest przede wszystkim spełnienie wymagań prawnych dotyczących przetwarzania i przechowywania informacji. Oprócz tego wspomnieć w tym miejscu należy również o uporządkowanych procesach związanych z przetwarzaniem informacji, wzroście świadomości pracowników odnośnie bezpieczeństwa informacji, a także o ustandaryzowanym postępowaniu pracowników organizacji. Przyznawany certyfikat stanowi więc bardzo istotne poświadczenie obejmujące obszar nie tylko technologiczny, ale również procesowy i czysto ludzki. Warto wspomnieć, że organizacje posiadające certyfikat ISO 27001 cieszą się dużo większym zaufaniem ze strony konsumentów, co pozwala im osiągać zakładane cele.

Nowe wydanie normyISO/IEC 27001:2022 w porównaniu z poprzednim wydaniem normy z 2017 roku obejmuje następujące zmiany:

  1. Zmieniono Załącznik A, który aktualnie odnosi się do zabezpieczeń informacji określonych w znowelizowanej normie ISO/IEC 27002:2022, która zawiera informacje o nazwach kategorii zabezpieczeń i samych zabezpieczeniach;
  2. Wprowadzono zmiany redakcyjne do uwag w rozdziale 6.1.3 c), w tym usunięto cele stosowania zabezpieczeń i użyto sformułowania „zabezpieczenie informacji” zamiast „zabezpieczenie”.
  3. Został przeorganizowany tekst punktu 6.1.3 d) w celu wyeliminowania potencjalnej niejednoznaczności.
  4. Dodano punkt 4.2 c) dotyczący określenia tych wymagań stron zainteresowanych, które będą spełniane poprzez system zarządzania bezpieczeństwem informacji (ISMS).
  5. Dodano podrozdział 6.3 – Planowanie zmian, stanowiący, że organizacja powinna przeprowadzać zmiany w ISMS w sposób zaplanowany.
  6. Zachowano spójność w zakresie czasownika używanego w powiązaniu z wyrażeniem „udokumentowane informacje”
  7. W rozdziale 8 użyto sformułowania „dostarczane z zewnątrz procesy, wyroby i usługi” zamiast „podzlecane procesy” oraz usunięto termin „podzlecanie”.
  8. Nadano tytuły podrozdziałom w rozdziałach 9.2 – Audit wewnętrzny i 9.3 – Przegląd zarządzania oraz zmieniono ich kolejność.
  9. Zmieniono kolejność dwóch podrozdziałów w rozdziale 10 – Doskonalenie.
  10. Zaktualizowano wydania dokumentów związanych wymienionych w Bibliografii, takich jak ISO/IEC 27002 i ISO 31000.

Zmiany objęły głównie kontroli bezpieczeństwa informacji w załączniku A, przewidywanych przez publikację ISO/IEC 27002:2022 w lutym. Dodano 11 nowych punktów kontroli bezpieczeństwa, 58 zaktualizowano, a 24 połączono, aby odzwierciedlić nowe scenariusze, z którymi spotykają się firmy. Język kontroli został uaktualniony, a wytyczne w ISO/IEC 27002 poprawione tak, aby pomóc firmom w zarządzaniu ryzykiem, upewnieniu się, że nic nie zostało przeoczone i w prawidłowym funkcjonowaniu. Oprócz zmian w zakresie kontroli, ISO/IEC 27001 została również dostosowana do najnowszych aktualizacji zgodnie z koncepcją ISO – HSL.

Główne obszary systemu zarządzania, na które mają wpływ te zmiany, to przywództwo, bezpieczeństwo korporacyjne, funkcja IT i inne funkcje wsparcia. W przypadku dostawców usług zmiany oddziałują również na obszar dostaw. Nowe wydanie normy ISO 27001 poprzez aktualizację kontroli bezpieczeństwa daje możliwość efektywniejszego zarządzania ryzykiem. Zapewnia ona firmom ustrukturyzowane podejście do ponownej oceny aktualnego obrazu ryzyka i przywrócenia kontroli bezpieczeństwa.

Okres przejściowy został ustalony na 3 lata. W związku z tym obowiązujące certyfikaty powinny zostać zaktualizowane do nowego wydania normy przed listopadem 2025 roku.

Czym jest certyfikat ISO 27001?

Certyfikat systemu zarządzania bezpieczeństwem informacji zgodny z ISO 27001 świadczy o skutecznym zaangażowaniu w proaktywne zarządzanie i ochronę informacji i aktywów oraz zapewnienie zgodności z właściwymi wymaganiami prawnymi.

Wdrożenie ISO 27001

Wdrożenie systemu ISO 27001:2022-10 odbywa się w następującym porządku:

audyt zerowy – konsultant/audytor wdrażający (zewnętrzny, wiodący) zapoznaje się z funkcjonowaniem organizacji,
powołanie i przeszkolenie osoby, mającej pełnić funkcję Pełnomocnika ds. Zarządzania Systemem Bezpieczeństwa Informacji,
przygotowanie wdrożenia na zgodność z normą: sporządzenie dokumentacji, księgi jakości, uwzględnienie procedur,
audyt sprawdzający,
przygotowanie do audytu certyfikującego.

Aby norma ISO 27001 mogła zostać wdrożona do danej organizacji w możliwie najbardziej sprawny i szybki sposób, należy trzymać się czterech podstawowych kroków. Pierwszym z nich jest planowanie. W tym punkcie konieczne jest określenie i opracowanie niezbędnych procesów oraz procedur, które w perspektywie czasu pozwolą jednostce organizacyjnej na zapewnienie bezpieczeństwa przetwarzanych informacji. W dalszej kolejności konieczne jest ich wdrożenie. Zgodnie z przyjętym harmonogramem stopniowo wprowadzane są kolejne narzędzia oraz procedury, których zadaniem jest zagwarantowanie bezpieczeństwa danych. Gdy tylko wszystkie procesy zostaną wdrożone w odpowiedni sposób, następuje etap sprawdzania. Jest to punkt, w którym kontroli podlega każdy system oraz właściwie każdy pracownik konkretnej organizacji. W rezultacie możliwe będzie przekazanie kierownictwu kompleksowych danych na temat bezpieczeństwa informacji wewnątrz jednostki, a także wskazanie ewentualnych punktów, w których przepływ danych nie jest realizowany na zakładanym poziomie. Ostatnim etapem wdrażania ISO 27001 jest doskonalenie. Konieczne jest nieustannie poszukiwanie nowych trendów oraz wykorzystywanie najnowocześniejszych dostępnych technologii w celu ciągłego doskonalenia prowadzonych procesów. Tylko to zagwarantuje jednostce możliwie najwyższe bezpieczeństwo danych.

Certyfikacja ISO 27001:2022-10 odbywa się w kilku etapach:

audyt wstępny – audytor zewnętrzny z wybranej jednostki certyfikującej zapoznaje się z dokumentacją organizacji, w celu sprawdzenia, czy wszystkie wymagania normy zostały wdrożone,
audytor ocenia, czy wszystkie elementy normy zostały wdrożone,
audyt – sprawdzenie, realizacji zapisów zgodnie z wdrożoną dokumentacją, czyli zbadanie jak system funkcjonuje w rzeczywistości,
wydanie raportu,
wydanie dyspozycji o możliwości przyznania Certyfikatu.

W związku z tym, że Certyfikat ISO 27001:2022-10 wydawanyjest na 3 lata, w drugim i w trzecim roku należy przeprowadzić audyt nadzoru. Coroczne audyty nadzoru mają na celu ciągłą optymalizację procesów. Po trzech latach przeprowadzany jest audyt recertyfikacji. Przystąpienie do tego audytu stanowi potwierdzenie długoterminowego zaangażowania organizacji w System Zarządzania Bezpieczeństwa Informacji.

Zespół naszych konsultantów pracuję na terenie całej Polski od wielu lat. Dzięki współpracy z dużą ilością firm (ponad 1000 zadowolonych klientów) mamy szerokie doświadczenie w wielu branżach. Realizowaliśmy procesy certyfikacji systemu ISO 27001 zarówno dla dużych firm jak zakłady produkcyjne jak i dla małych oraz średnich przedsiębiorców. Ze swojej strony możemy zapewnić Państwa o wysokiej jakości oferowanych przez nas usług oraz w pełni kompleksowym podejściu. Certyfikat ISO 27001 przygotowujemy dla firm fachowo, skutecznie i szybko. Załatwiamy wszystkie sprawy formalne związane z uzyskaniem certyfikatu oraz służymy głosem doradczym w przypadku wszystkich audytów i kontroli.

ikona kontakt - PN-EN ISO/IEC 27001:2017-06

Chcesz wiedzieć więcej?

Skontaktuj się z nami.

(22) 478 55 11
biuro@centrumjakosci.pl
Imię
Nazwisko
Email
Wiadomość

The form has been submitted successfully!
There has been some error while submitting the form. Please verify all form fields again.