Az ISO/IEC 27001 a nemzetközi referenciaszabvány az információbiztonság-irányítási rendszerhez (ISMS). Egyre gyakrabban követelik meg megrendelők, pályázati kiírások, kiberbiztosítók, vagy bizonyos exportpiacokra való bejutás feltételeként. A SYAGA a gap assessmenttől a tanúsítási audit előkészítéséig kíséri Önt.
Az ISO 27001 nem általános jogi kötelezettség, de megkerülhetetlen üzleti előfeltétellé válik
Az ISO/IEC 27001 önkéntes kezdeményezés marad. Ennek ellenére egyre gyakrabban követelik meg pályázati kiírásokban, nagy megrendelők részéről, bizonyos kiberbiztosítók által, vagy bizonyos exportpiacokra való bejutás előfeltételeként.
A KKV-k és középvállalatok többsége nem indított el strukturált információbiztonság- irányítási rendszer (ISMS) kezdeményezést. A témát összetettnek, technikainak és hosszadalmasnak tekintik.
A klasszikus tanúsítási projektek hónapokra lekötik csapatait, és jelentős befektetést jelentenek, amely gyakran meghaladja egy KKV lehetőségeit.
Az informatikai vezető vagy a biztonsági felelős hónapokra történő lekötése egy ISMS felépítéséhez nem életképes egy olyan KKV-ban, ahol mindenki már több szerepet is betölt.
Egy 3 fázisból álló strukturált folyamat, amely ugyanarra a módszertanra épül, amelyet a SYAGA már bevált a PSSI-Express keretében
Felmérő interjú a vezetéssel és az informatikai felelőssel, majd az A melléklet (2022-es kiadás) mind a 93 biztonsági intézkedésének szisztematikus értékelése, a 4 témakör (szervezeti, emberi, fizikai és technológiai) szerint felosztva. Egy tényszerű eltérési jelentés átadása.
A biztonsági szabályzat (ISMS) megírása vagy frissítése, az Alkalmazhatósági Nyilatkozat (DdA), amely indokolja mind a 93 intézkedés alkalmazását vagy kizárását, valamint egy priorizált korrekciós terv az 1. fázisban azonosított eltérések megszüntetésére.
A korrekciós terv megvalósításának nyomon követése, dokumentumfelülvizsgálat, és csapatának felkészítése egy független, akkreditált tanúsító szervezet által végzett auditra. A SYAGA felkészíti Önt az auditra; magát a tanúsítást ez a harmadik fél szervezet adja ki.
Az ISO 27001 tanúsítási dosszié strukturáló dokumentumai
A szabványnak való megfelelés szintjének tényszerű értékelése.
Az ISO 27001 tanúsítási dosszié központi normatív dokumentuma.
A szabvány 4-10. fejezete által megkövetelt kormányzási dokumentum.
Az azonosított eltérések megszüntetésének ütemterve.
Csapatai által azonnal alkalmazható dokumentumok.
Minden dokumentum olyan formátumban, amelyet Ön továbbfejleszthet.
Az ISO 27001 ISMS természetesen több keretrendszerrel is átfedésben van
Központi keretrendszer: 4-10. fejezet (irányítási követelmények) és A melléklet (93, 4 témakörbe sorolt biztonsági intézkedés).
A NIS2 irányelv által megkövetelt kiberkockázat-kezelési intézkedések nagymértékben átfedésben vannak az ISO 27001 A melléklet intézkedéseivel. Egy ISO 27001 ISMS megkönnyíti a NIS2-megfelelést az érintett szervezetek számára.
Az ANSSI (francia hatóság) informatikai higiéniai útmutatójának intézkedései jelentős részben átfedésben vannak az ISO 27001 A melléklet intézkedéseivel. A megfeleltetés dokumentálva van a korrekciós tervben.
A GDPR 32. cikke által megkövetelt megfelelő technikai és szervezési intézkedések ugyanazokra a jó gyakorlatokra épülnek, mint az ISO 27001 A melléklete (hozzáférés-ellenőrzés, titkosítás, incidenskezelés).
Minden ISO 27001 projekt az Ön hatóköréhez és jelenlegi érettségi szintjéhez van méretezve. Mindig személyre szabott árajánlat.
Eltéréseinek kezdeti pillanatképe
A gap assessmenttől az audit előkészítéséig
Tanúsítás után vagy folyamatosan
Vegye fel velünk a kapcsolatot egy, az Ön hatóköréhez és jelenlegi érettségi szintjéhez igazított árajánlatért.
Amit az ISO/IEC 27001 valójában mond, egyszerűen elmagyarázva. Minden pont a hivatalos forrásához (ISO, AFNOR, COFRAC, ANSSI - francia szervezetek) vezet, frissítve 2026.07.17-én.
Az ISO/IEC 27001 egy elismert módszer az adatait fenyegető veszélyek azonosítására, a kockázatok kezelésére és a megfelelő védelmi intézkedések bevezetésére, hogy információi bizalmasak, elérhetők és megbízhatók maradjanak. Ez nem szoftver, hanem egy a vállalatban kialakítandó szervezet.
Forrás: AFNOR Certification (francia tanúsító szervezet)Más folyamatokkal ellentétben (mint például az állami rendszerek egy részére előírt biztonsági minősítés), az ISO 27001 nem kötelező: egy tanúsító szabvány, nem általános szabályozási kötelezettség. Ön azért választja, hogy megnyugtassa ügyfeleit, partnereit és biztosítóit.
Forrás: ANSSI (francia hatóság, módszertani lap)Soha nem maga a vállalat, sem egy tanácsadó: csak egy független, akkreditált tanúsító szervezet adhatja ki (a COFRAC az egyetlen francia akkreditációs testület, amelyet 1994-ben hoztak létre). A megszerzett tanúsítvány 3 évig érvényes.
Forrás: COFRAC (francia akkreditációs testület)Előzetes értékelés (opcionális), felkészülés, dokumentumfelülvizsgálat, helyszíni audit annak ellenőrzésére, hogy mi van ténylegesen bevezetve, a tanúsítvány kiadása (3 évre), majd évente egy ellenőrző látogatás, és 3 év után egy teljes megújítási audit. Semmi sincs egyszer és mindenkorra rögzítve.
Forrás: AFNOR Certification (francia tanúsító szervezet)Egy tanúsított vállalatok körében végzett AFNOR-tanulmány szerint: 89%-uk kevesebb biztonsági incidenst tapasztalt, 83%-uknak szilárdabb belső biztonsági folyamatai vannak, és 88%-uk megtartott olyan ügyfeleket, akik tanúsítás nélkül elmentek volna.
Forrás: AFNOR-tanulmány, 2019 (francia tanúsító szervezet)Az ISO saját állítása szerint ez a világ leggyakrabban használt információbiztonsági szabványa. És az akkreditáció, amely a tanúsító szervezeteket ellenőrzi (mint a COFRAC Franciaországban), nemzetközileg elismert országok közötti megállapodások révén, ami megkönnyíti a piacra jutást Európában és máshol.
Forrás: ISO (JTC1/SC27 bizottság)