ISO/IEC 27001 yra tarptautinis pagrindinis standartas informacijos saugumo valdymo sistemai (ISVS). Vis dažniau reikalaujama užsakovų, viešuosiuose pirkimuose, kibernetinio draudimo bendrovių ar norint patekti į tam tikras eksporto rinkas - SYAGA padeda jums nuo spragų vertinimo iki pasiruošimo sertifikavimo auditui.
ISO 27001 nėra bendra teisinė pareiga, tačiau tampa neišvengiama komercine prielaida
ISO/IEC 27001 išlieka savanoriška iniciatyva. Vis dėlto ji vis dažniau reikalaujama viešuosiuose pirkimuose, didelių užsakovų, kai kurių kibernetinio draudimo bendrovių, arba kaip prielaida norint patekti į tam tikras eksporto rinkas.
Dauguma MVĮ ir vidutinių įmonių dar nėra pradėjusios struktūrizuotos informacijos saugumo valdymo sistemos diegimo. Ši tema suvokiama kaip sudėtinga, techninė ir ilgai trunkanti.
Įprasti sertifikavimo projektai reikalauja jūsų komandų dėmesio kelis mėnesius ir yra didelė investicija, dažnai nepasiekiama MVĮ.
IT direktoriaus ar saugumo vadovo užimtumas kelis mėnesius kuriant ISVS nėra realu MVĮ, kur kiekvienas jau atlieka kelis vaidmenis.
3 etapų struktūrizuotas procesas, grindžiamas ta pačia metodika, kurią SYAGA jau išbandė su PSSI-Express
Pradinis pokalbis su vadovybe ir IS vadovu, po to sistemingai įvertinama kiekviena iš 93 A priedo (2022 m. leidimas) saugumo priemonių, suskirstytų į 4 temas: organizacinę, žmogiškuosius išteklius, fizinę ir technologinę. Pateikiama faktinė spragų ataskaita.
Parengiama arba atnaujinama saugumo politika (ISVS), Taikymo deklaracija (DdA), pagrindžianti kiekvienos iš 93 priemonių taikymą ar netaikymą, bei prioritetais grįstas taisymo planas, skirtas 1 etape nustatytoms spragoms pašalinti.
Stebimas taisymo plano įgyvendinimas, atliekama dokumentų peržiūra, ir jūsų komanda paruošiama auditui, kurį atlieka nepriklausoma akredituota sertifikavimo įstaiga. SYAGA jus paruošia auditui; pačią sertifikaciją suteikia ši trečioji šalis.
Pagrindiniai ISO 27001 sertifikavimo bylos dokumentai
Faktinis jūsų atitikties standartui lygio įvertinimas.
Pagrindinis norminis ISO 27001 sertifikavimo bylos dokumentas.
Valdysenos dokumentas, kurio reikalauja standarto 4-10 punktai.
Veiksmų planas nustatytoms spragoms pašalinti.
Dokumentai, kuriuos jūsų komandos gali taikyti tiesiogiai.
Visi dokumentai formatais, kuriuos galite toliau tobulinti.
ISO 27001 ISVS natūraliai sutampa su keliais standartais
Pagrindinis standartas: 4-10 punktai (valdymo reikalavimai) ir A priedas (93 saugumo priemonės, suskirstytos į 4 temas).
NIS2 direktyvos reikalaujamos kibernetinės rizikos valdymo priemonės iš esmės sutampa su ISO 27001 A priedo priemonėmis. ISO 27001 ISVS palengvina NIS2 atitikties užtikrinimą susijusiems subjektams.
ANSSI (Prancūzijos institucijos) IT higienos gairių priemonės iš esmės sutampa su reikšminga dalimi ISO 27001 A priedo priemonių. Atitikmuo dokumentuojamas taisymo plane.
BDAR 32 straipsnio reikalaujamos tinkamos techninės ir organizacinės priemonės remiasi tomis pačiomis gerosiomis praktikomis kaip ir ISO 27001 A priedas (prieigos kontrolė, šifravimas, incidentų valdymas).
Kiekviena ISO 27001 užduotis pritaikoma pagal jūsų apimtį ir dabartinę brandą. Visada individualus pasiūlymas.
Pradinis jūsų spragų vaizdas
Nuo spragų vertinimo iki pasiruošimo auditui
Po sertifikavimo arba nuolat
Susisiekite su mumis dėl individualaus pasiūlymo, priklausomai nuo jūsų apimties ir dabartinės brandos.
Ką iš tikrųjų sako ISO/IEC 27001, paaiškinta paprastai. Kiekvienas punktas nurodo savo oficialų šaltinį (ISO, AFNOR, COFRAC, ANSSI - pastarosios trys yra Prancūzijos institucijos), atnaujinta 2026-07-17.
ISO/IEC 27001 yra pripažinta metodika, padedanti nustatyti jūsų duomenims gresiančius pavojus, valdyti riziką ir įdiegti tinkamas apsaugos priemones, kad jūsų informacija liktų konfidenciali, prieinama ir patikima. Tai ne programinė įranga, o organizacinė struktūra, kurią reikia įdiegti įmonėje.
Šaltinis: AFNOR Certification (Prancūzijos institucija)Skirtingai nuo kitų procesų (pvz., saugumo patvirtinimo, privalomo tam tikroms valstybės sistemoms), ISO 27001 yra neprivaloma: tai sertifikuojantis standartas, o ne bendra teisinė pareiga. Ją pasirenkate norėdami nuraminti klientus, partnerius ir draudikus.
Šaltinis: ANSSI (Prancūzijos institucija, metodinis lapas)Niekada pati įmonė ar konsultantas: sertifikatą gali suteikti tik nepriklausoma akredituota sertifikavimo įstaiga (COFRAC yra vienintelė Prancūzijos akreditavimo institucija, įkurta 1994 m.). Gautas sertifikatas galioja 3 metus.
Šaltinis: COFRAC (Prancūzijos institucija)Išankstinis vertinimas (neprivalomas), pasiruošimas, dokumentų peržiūra, auditas vietoje, siekiant patikrinti, kas iš tikrųjų įdiegta, sertifikato suteikimas (3 metams), po to kasmetinis kontrolinis vizitas ir pilnas atnaujinimo auditas po 3 metų. Niekas nėra užfiksuota visiems laikams.
Šaltinis: AFNOR Certification (Prancūzijos institucija)Pagal AFNOR atliktą sertifikuotų įmonių tyrimą: 89% pastebėjo mažiau saugumo incidentų, 83% turi tvirtesnius vidinius saugumo procesus, o 88% išlaikė klientus, kurie be sertifikavimo galėjo pasitraukti.
Šaltinis: AFNOR tyrimas, 2019 m. (Prancūzijos institucija)Tai pačios ISO teigimu labiausiai pasaulyje naudojamas informacijos saugumo standartas. O akreditavimas, kontroliuojantis sertifikavimo įstaigas (pvz., COFRAC Prancūzijoje), tarptautiniu mastu pripažįstamas šalių tarpusavio susitarimais, kas palengvina patekimą į rinkas Europoje ir kitur.
Šaltinis: ISO (komitetas JTC1/SC27)