STANDARTAS ISO/IEC 27001:2022 - ISVS

Pasiruoškite ISO 27001 sertifikavimui
neprarasdami 6 mėnesių

ISO/IEC 27001 yra tarptautinis pagrindinis standartas informacijos saugumo valdymo sistemai (ISVS). Vis dažniau reikalaujama užsakovų, viešuosiuose pirkimuose, kibernetinio draudimo bendrovių ar norint patekti į tam tikras eksporto rinkas - SYAGA padeda jums nuo spragų vertinimo iki pasiruošimo sertifikavimo auditui.

93
A priedo priemonės (2022 m. leidimas)
4
Saugumo temos
7
Valdymo punktai (4-10)
1
Pateikta Taikymo deklaracija

Kontekstas

ISO 27001 nėra bendra teisinė pareiga, tačiau tampa neišvengiama komercine prielaida

📋

Savanoriškas sertifikavimas, tačiau vis dažniau reikalaujamas

ISO/IEC 27001 išlieka savanoriška iniciatyva. Vis dėlto ji vis dažniau reikalaujama viešuosiuose pirkimuose, didelių užsakovų, kai kurių kibernetinio draudimo bendrovių, arba kaip prielaida norint patekti į tam tikras eksporto rinkas.

🔒

Nedaug MVĮ yra formalizavusios savo ISVS

Dauguma MVĮ ir vidutinių įmonių dar nėra pradėjusios struktūrizuotos informacijos saugumo valdymo sistemos diegimo. Ši tema suvokiama kaip sudėtinga, techninė ir ilgai trunkanti.

💰

Ilgi ir brangūs projektai

Įprasti sertifikavimo projektai reikalauja jūsų komandų dėmesio kelis mėnesius ir yra didelė investicija, dažnai nepasiekiama MVĮ.

Jūsų IT komandos jau perkrautos

IT direktoriaus ar saugumo vadovo užimtumas kelis mėnesius kuriant ISVS nėra realu MVĮ, kur kiekvienas jau atlieka kelis vaidmenis.

ISO27001-Express metodika

3 etapų struktūrizuotas procesas, grindžiamas ta pačia metodika, kurią SYAGA jau išbandė su PSSI-Express

1
1 etapas - Spragų vertinimas

93 A priedo priemonių vertinimas

Pradinis pokalbis su vadovybe ir IS vadovu, po to sistemingai įvertinama kiekviena iš 93 A priedo (2022 m. leidimas) saugumo priemonių, suskirstytų į 4 temas: organizacinę, žmogiškuosius išteklius, fizinę ir technologinę. Pateikiama faktinė spragų ataskaita.

2
2 etapas - ISVS dokumentacija

Saugumo politika, taikymo deklaracija ir taisymo planas

Parengiama arba atnaujinama saugumo politika (ISVS), Taikymo deklaracija (DdA), pagrindžianti kiekvienos iš 93 priemonių taikymą ar netaikymą, bei prioritetais grįstas taisymo planas, skirtas 1 etape nustatytoms spragoms pašalinti.

3
3 etapas - Pagalba siekiant sertifikavimo

Pasiruošimas sertifikavimo įstaigos auditui

Stebimas taisymo plano įgyvendinimas, atliekama dokumentų peržiūra, ir jūsų komanda paruošiama auditui, kurį atlieka nepriklausoma akredituota sertifikavimo įstaiga. SYAGA jus paruošia auditui; pačią sertifikaciją suteikia ši trečioji šalis.

Ką jūs gaunate

Pagrindiniai ISO 27001 sertifikavimo bylos dokumentai

📊

Spragų vertinimo ataskaita

Faktinis jūsų atitikties standartui lygio įvertinimas.

  • 93 A priedo priemonių vertinimas
  • Kiekvienos priemonės statusas: atitinka / dalinai / neatitinka
  • Santrauka pagal temą (organizacinė, žmogiškieji ištekliai, fizinė, technologinė)
  • Faktiniai konstatavimai, be vertinimo
🔐

Taikymo deklaracija (DdA)

Pagrindinis norminis ISO 27001 sertifikavimo bylos dokumentas.

  • Kiekvienos iš 93 priemonių taikymo/netaikymo statusas
  • Kiekvieno netaikymo pagrindimas
  • Nuoroda į ISVS dokumentus
  • Paruošta pateikti sertifikavimo įstaigai
📝

Saugumo politika (ISVS)

Valdysenos dokumentas, kurio reikalauja standarto 4-10 punktai.

  • ISVS apimtis ir kontekstas
  • Saugumo vaidmenys ir atsakomybės
  • Rizikos valdymo procesas
  • Nuolatinio tobulinimo ciklas (PDCA)
🎯

Prioritetais grįstas taisymo planas

Veiksmų planas nustatytoms spragoms pašalinti.

  • Veiksmai, suskirstyti pagal prioritetą
  • Organizacinės ir techninės priemonės
  • Progreso stebėjimas
  • Laipsniškas pasiruošimas auditui
📄

Veiklos procedūros

Dokumentai, kuriuos jūsų komandos gali taikyti tiesiogiai.

  • Saugumo incidentų valdymas
  • Prieigos ir tapatybių valdymas
  • Pokyčių valdymas
  • IT chartija
💻

Redaguojami failai

Visi dokumentai formatais, kuriuos galite toliau tobulinti.

  • Savarankiškas HTML (atveriamas bet kurioje naršyklėje)
  • Aukštos kokybės PDF (A4 spausdinimui)
  • Redaguojamas DOCX (Microsoft Word)
  • Atnaujinama kiekvienos metinės peržiūros metu

Bendrai naudojamas dokumentacijos pagrindas

ISO 27001 ISVS natūraliai sutampa su keliais standartais

ISO

ISO/IEC 27001:2022

Pagrindinis standartas: 4-10 punktai (valdymo reikalavimai) ir A priedas (93 saugumo priemonės, suskirstytos į 4 temas).

N2

Sąsaja su NIS2

NIS2 direktyvos reikalaujamos kibernetinės rizikos valdymo priemonės iš esmės sutampa su ISO 27001 A priedo priemonėmis. ISO 27001 ISVS palengvina NIS2 atitikties užtikrinimą susijusiems subjektams.

AN

ANSSI gairės - IT higiena

ANSSI (Prancūzijos institucijos) IT higienos gairių priemonės iš esmės sutampa su reikšminga dalimi ISO 27001 A priedo priemonių. Atitikmuo dokumentuojamas taisymo plane.

RG

BDAR (32 str.)

BDAR 32 straipsnio reikalaujamos tinkamos techninės ir organizacinės priemonės remiasi tomis pačiomis gerosiomis praktikomis kaip ir ISO 27001 A priedas (prieigos kontrolė, šifravimas, incidentų valdymas).

Jūsų kontekstui pritaikyti pasiūlymai

Kiekviena ISO 27001 užduotis pritaikoma pagal jūsų apimtį ir dabartinę brandą. Visada individualus pasiūlymas.

Spragų vertinimas

Pradinis jūsų spragų vaizdas

Pagal pasiūlymą
priklausomai nuo apimties ir darbuotojų skaičiaus
  • 93 A priedo priemonių vertinimas
  • Faktinio konstatavimo ataskaita
  • Santrauka pagal saugumo temą
  • Pristatymas vadovybei
  • HTML + PDF + DOCX formatai
Prašyti pasiūlymo

Metinė priežiūra

Po sertifikavimo arba nuolat

Pagal pasiūlymą
priklausomai nuo apimties ir darbuotojų skaičiaus
  • Metinė ISVS peržiūra
  • DdA atnaujinimas
  • Taisymo plano atnaujinimas
  • Pasiruošimas priežiūros auditams
Prašyti pasiūlymo

Dažnai užduodami klausimai

Kas yra standartas ISO/IEC 27001?
ISO/IEC 27001 yra tarptautinis pagrindinis standartas, skirtas diegti informacijos saugumo valdymo sistemą (ISVS). 2022 m. leidime jis struktūrizuotas 4-10 punktais (valdymo reikalavimai: kontekstas, lyderystė, planavimas, parama, veikimas, vertinimas, tobulinimas) ir A priedu, kurį sudaro 93 saugumo priemonės, suskirstytos į 4 temas: organizacinė, žmogiškieji ištekliai, fizinė ir technologinė.
Ar ISO 27001 yra privaloma mano įmonei?
Ne, ISO 27001 yra savanoriškas sertifikavimas, skirtingai nei tokie teisės aktai kaip NIS2. Tačiau de facto jos vis dažniau reikalaujama: viešuosiuose pirkimuose, didelių užsakovų reikalavimuose, kibernetinio draudimo sąlygose ar norint patekti į tam tikras eksporto rinkas. Tai strateginis pasirinkimas, o ne bendra teisinė pareiga.
Ar SYAGA suteikia sertifikatą?
Ne. ISO 27001 sertifikatą suteikia išimtinai nepriklausoma akredituota sertifikavimo įstaiga po išorinio audito. SYAGA padeda jums pasiruošti (spragų vertinimas, ISVS dokumentacija, taisymo planas, komandų paruošimas), tačiau pati sertifikato neišduoda.
Kas yra Taikymo deklaracija (DdA)?
DdA yra privalomas norminis sertifikavimo bylos dokumentas. Jame išvardijama kiekviena iš 93 A priedo priemonių, nurodant, ar ji taikoma, ar netaikoma, kartu su atitinkamu pagrindimu. Tai vienas iš atidžiausiai tikrinamų dokumentų sertifikavimo audito metu.
Kiek laiko turėsiu skirti savo komandoms?
Didžiąją darbo dalį (vertinimą, dokumentų rengimą, taisymo planą) atlieka mūsų auditoriai. Jūsų komandų dažniausiai prireikia pradiniame pokalbyje ir pristatymo metu. Bendra sertifikavimo proceso trukmė labai priklauso nuo jūsų apimties ir pradinės brandos; ji įvertinama individualiai pasiūlyme.
Kodėl SYAGA turi kompetenciją man padėti?
SYAGA Consulting nuo 2009 m. atlieka informacinių sistemų saugumo auditus. Mūsų auditoriai dirba su įvairaus dydžio klientais keliuose sektoriuose. ISO27001-Express naudojama spragų vertinimo ir dokumentų generavimo metodika remiasi ta pačia sistema, kuri jau naudojama kituose mūsų atitikties projektuose (PSSI-Express).
SYAGA padeda jums pasiruošti savo ISVS ir sertifikavimo bylai. Patį ISO/IEC 27001 sertifikatą suteikia nepriklausoma akredituota sertifikavimo įstaiga, nesusijusi su SYAGA. Šis turinys yra pagalbinė priemonė ir nėra teisinė konsultacija.

Pasiruošę struktūrizuoti savo ISO 27001 procesą?

Susisiekite su mumis dėl individualaus pasiūlymo, priklausomai nuo jūsų apimties ir dabartinės brandos.

Teisės aktų stebėsena - oficialūs šaltiniai

Ką iš tikrųjų sako ISO/IEC 27001, paaiškinta paprastai. Kiekvienas punktas nurodo savo oficialų šaltinį (ISO, AFNOR, COFRAC, ANSSI - pastarosios trys yra Prancūzijos institucijos), atnaujinta 2026-07-17.

Kas tai iš tikrųjų yra?

ISO/IEC 27001 yra pripažinta metodika, padedanti nustatyti jūsų duomenims gresiančius pavojus, valdyti riziką ir įdiegti tinkamas apsaugos priemones, kad jūsų informacija liktų konfidenciali, prieinama ir patikima. Tai ne programinė įranga, o organizacinė struktūra, kurią reikia įdiegti įmonėje.

Šaltinis: AFNOR Certification (Prancūzijos institucija)

Tai pasirinkimas, o ne įstatymas

Skirtingai nuo kitų procesų (pvz., saugumo patvirtinimo, privalomo tam tikroms valstybės sistemoms), ISO 27001 yra neprivaloma: tai sertifikuojantis standartas, o ne bendra teisinė pareiga. Ją pasirenkate norėdami nuraminti klientus, partnerius ir draudikus.

Šaltinis: ANSSI (Prancūzijos institucija, metodinis lapas)

Kas suteikia sertifikatą?

Niekada pati įmonė ar konsultantas: sertifikatą gali suteikti tik nepriklausoma akredituota sertifikavimo įstaiga (COFRAC yra vienintelė Prancūzijos akreditavimo institucija, įkurta 1994 m.). Gautas sertifikatas galioja 3 metus.

Šaltinis: COFRAC (Prancūzijos institucija)

Kelias, 6 etapais

Išankstinis vertinimas (neprivalomas), pasiruošimas, dokumentų peržiūra, auditas vietoje, siekiant patikrinti, kas iš tikrųjų įdiegta, sertifikato suteikimas (3 metams), po to kasmetinis kontrolinis vizitas ir pilnas atnaujinimo auditas po 3 metų. Niekas nėra užfiksuota visiems laikams.

Šaltinis: AFNOR Certification (Prancūzijos institucija)

Ar tai iš tikrųjų atsiperka?

Pagal AFNOR atliktą sertifikuotų įmonių tyrimą: 89% pastebėjo mažiau saugumo incidentų, 83% turi tvirtesnius vidinius saugumo procesus, o 88% išlaikė klientus, kurie be sertifikavimo galėjo pasitraukti.

Šaltinis: AFNOR tyrimas, 2019 m. (Prancūzijos institucija)

Pripažinta visur, ne tik Prancūzijoje

Tai pačios ISO teigimu labiausiai pasaulyje naudojamas informacijos saugumo standartas. O akreditavimas, kontroliuojantis sertifikavimo įstaigas (pvz., COFRAC Prancūzijoje), tarptautiniu mastu pripažįstamas šalių tarpusavio susitarimais, kas palengvina patekimą į rinkas Europoje ir kitur.

Šaltinis: ISO (komitetas JTC1/SC27)