STANDARTS ISO/IEC 27001:2022 - ISVS

Sagatavojiet savu ISO 27001 sertifikāciju
bez 6 mēnešu zaudēšanas

ISO/IEC 27001 ir starptautiskais atsauces standarts Informācijas drošības vadības sistēmai (ISVS). To arvien vairāk pieprasa pasūtītāji, iepirkumu konkursos, kiberapdrošinātāji vai piekļuvei noteiktiem eksporta tirgiem. SYAGA jūs pavada no atšķirību novērtējuma līdz sertifikācijas audita sagatavošanai.

93
A pielikuma pasākumi (2022. izd.)
4
Drošības jomas
7
Vadības punkti (4. līdz 10.)
1
Piegādāta piemērojamības deklarācija

Konteksts

ISO 27001 nav vispārējs juridisks pienākums, bet tas kļūst par nenovēršamu komerciālu priekšnoteikumu

📋

Brīvprātīga sertifikācija, bet arvien vairāk pieprasīta

ISO/IEC 27001 joprojām ir brīvprātīgs process. Tomēr to arvien vairāk pieprasa iepirkumu konkursos, lieli pasūtītāji, daži kiberapdrošinātāji vai kā priekšnoteikums piekļuvei noteiktiem eksporta tirgiem.

🔒

Maz MVU ir formalizējuši savu ISVS

Lielākā daļa MVU un vidējo uzņēmumu nav uzsākuši nekādu strukturētu Informācijas drošības vadības sistēmas procesu. Tēma tiek uztverta kā sarežģīta, tehniska un ilga.

💰

Ilgi un dārgi atbalsta pakalpojumi

Klasiskie sertifikācijas projekti noslogo jūsu komandas vairākus mēnešus un rada ievērojamas izmaksas, bieži vien nepieejamas MVU.

Jūsu IT komandas jau ir pārslogotas

IT direktora vai drošības vadītāja noslogošana mēnešiem ilgi ISVS izveidei nav dzīvotspējīga MVU, kur katrs jau pilda vairākas lomas.

ISO27001-Express metode

Strukturēts 3 fāžu process, balstīts uz to pašu metodoloģiju, ko SYAGA jau ir pierādījusi ar PSSI-Express

1
1. fāze - Atšķirību novērtējums

93 A pielikuma pasākumu novērtēšana

Ievirzes intervija ar vadību un IT atbildīgo, tad sistemātisks katra no 93 A pielikuma (2022. izdevums) drošības pasākuma novērtējums, sadalīti 4 jomās: organizatoriskā, cilvēkresursu, fiziskā un tehnoloģiskā. Faktu ziņojuma par atšķirībām nodošana.

2
2. fāze - ISVS dokumentācija

Drošības politika, PD un rīcības plāns

Drošības politikas (ISVS) izstrāde vai atjaunināšana, Piemērojamības deklarācijas (PD), kas pamato katra no 93 pasākumiem piemērošanu vai izslēgšanu, un prioritizēta rīcības plāna izstrāde 1. fāzē identificēto atšķirību novēršanai.

3
3. fāze - Atbalsts sertifikācijai

Sertificēšanas institūcijas audita sagatavošana

Rīcības plāna ieviešanas uzraudzība, dokumentu pārskatīšana, un jūsu komandas sagatavošana auditam, ko veic neatkarīga akreditēta sertifikācijas institūcija. SYAGA jūs sagatavo auditam; pašu sertifikāciju izsniedz šī trešā puse.

Ko jūs saņemat

ISO 27001 sertifikācijas lietas strukturējošie dokumenti

📊

Atšķirību novērtējuma ziņojums

Faktu novērtējums par jūsu atbilstības līmeni standartam.

  • 93 A pielikuma pasākumu novērtējums
  • Statuss katram pasākumam: atbilst / daļēji / neatbilst
  • Kopsavilkums pa jomām (organizatoriskā, cilvēkresursu, fiziskā, tehnoloģiskā)
  • Faktu konstatējumi, bez vērtējuma
🔐

Piemērojamības deklarācija (PD)

ISO 27001 sertifikācijas lietas centrālais normatīvais dokuments.

  • Piemērojams/izslēgts statuss katram no 93 pasākumiem
  • Katra izslēgšanas pamatojums
  • Atsauce uz ISVS dokumentiem
  • Gatavs uzrādīšanai sertifikācijas institūcijai
📝

Drošības politika (ISVS)

Pārvaldības dokuments, ko pieprasa standarta 4.-10. punkts.

  • ISVS apjoms un konteksts
  • Drošības lomas un atbildība
  • Risku pārvaldības process
  • Nepārtrauktas uzlabošanas cikls (PDCA)
🎯

Prioritizēts rīcības plāns

Ceļvedis identificēto atšķirību novēršanai.

  • Darbības sakārtotas pēc prioritātes
  • Organizatoriskie un tehniskie pasākumi
  • Progresa uzraudzība
  • Pakāpeniska sagatavošanās auditam
📄

Operatīvās procedūras

Dokumenti, ko jūsu komandas var uzreiz piemērot.

  • Drošības incidentu pārvaldība
  • Piekļuves un identitāšu pārvaldība
  • Izmaiņu pārvaldība
  • IT lietošanas kārtība
💻

Rediģējami faili

Visi dokumenti formātos, kurus varat attīstīt tālāk.

  • Autonoms HTML (atverams jebkurā pārlūkprogrammā)
  • Augstas kvalitātes PDF (A4 druka)
  • Rediģējams DOCX (Microsoft Word)
  • Atjaunināšana katrā ikgadējā pārskatīšanā

Koplietojams dokumentācijas pamats

ISO 27001 ISVS dabiski pārklājas ar vairākiem ietvariem

ISO

ISO/IEC 27001:2022

Centrālais ietvars: 4.-10. punkts (vadības prasības) un A pielikums (93 drošības pasākumi, sadalīti 4 jomās).

N2

Saikne ar NIS2

NIS2 direktīvas pieprasītie kiberrisku pārvaldības pasākumi lielā mērā pārklājas ar ISO 27001 A pielikuma pasākumiem. ISO 27001 ISVS atvieglo NIS2 atbilstības nodrošināšanu attiecīgajām vienībām.

AN

ANSSI ceļvedis - IT higiēna

ANSSI (Francijas iestāde) IT higiēnas ceļveža pasākumi pārklājas ar būtisku daļu ISO 27001 A pielikuma pasākumu. Atbilstība dokumentēta rīcības plānā.

VD

VDAR (32. pants)

VDAR 32. panta pieprasītie atbilstošie tehniskie un organizatoriskie pasākumi balstās uz tām pašām labajām praksēm kā ISO 27001 A pielikums (piekļuves kontrole, šifrēšana, incidentu pārvaldība).

Jūsu kontekstam pielāgoti piedāvājumi

Katrs ISO 27001 projekts tiek dimensionēts atbilstoši jūsu apjomam un pašreizējam brieduma līmenim. Vienmēr individuāls piedāvājums.

Atšķirību novērtējums

Sākotnējs jūsu atšķirību uzņēmums

Pēc pieprasījuma
atkarībā no apjoma un darbinieku skaita
  • 93 A pielikuma pasākumu novērtējums
  • Faktu konstatējuma ziņojums
  • Kopsavilkums pa drošības jomām
  • Prezentācija vadībai
  • Formāti HTML + PDF + DOCX
Pieprasīt piedāvājumu

Ikgadēja uzturēšana

Pēc sertifikācijas vai nepārtraukti

Pēc pieprasījuma
atkarībā no apjoma un darbinieku skaita
  • Ikgadēja ISVS pārskatīšana
  • PD atjaunināšana
  • Rīcības plāna aktualizēšana
  • Sagatavošanās uzraudzības auditiem
Pieprasīt piedāvājumu

Biežāk uzdotie jautājumi

Kas ir standarts ISO/IEC 27001?
ISO/IEC 27001 ir starptautiskais atsauces standarts Informācijas drošības vadības sistēmas (ISVS) izveidei. 2022. gada izdevumā tas ir strukturēts 4.-10. punktos (vadības prasības: konteksts, vadība, plānošana, atbalsts, darbība, novērtēšana, uzlabošana) un A pielikumā ar 93 drošības pasākumiem, sadalītiem 4 jomās: organizatoriskā, cilvēkresursu, fiziskā un tehnoloģiskā.
Vai ISO 27001 ir obligāta manam uzņēmumam?
Nē, ISO 27001 ir brīvprātīga sertifikācija, atšķirībā no normatīviem tekstiem kā NIS2. Toties to arvien vairāk pieprasa faktiski: iepirkumu konkursos, lielu pasūtītāju prasībās, kiberapdrošināšanas nosacījumos vai piekļuvei noteiktiem eksporta tirgiem. Tā ir stratēģiska izvēle, nevis vispārējs juridisks pienākums.
Vai SYAGA izsniedz sertifikātu?
Nē. ISO 27001 sertifikāciju izsniedz tikai neatkarīga akreditēta sertifikācijas institūcija pēc ārējā audita. SYAGA jūs pavada sagatavošanā (atšķirību novērtējums, ISVS dokumentācija, rīcības plāns, jūsu komandu sagatavošana), bet pati neizsniedz sertifikātu.
Kas ir Piemērojamības deklarācija (PD)?
PD ir obligāts normatīvs sertifikācijas lietas dokuments. Tas uzskaita katru no 93 A pielikuma pasākumiem un norāda, vai tas ir piemērots vai izslēgts, ar attiecīgu pamatojumu. Tas ir viens no visrūpīgāk pārbaudītajiem dokumentiem sertifikācijas auditā.
Cik daudz laika man jāatvēl savām komandām?
Lielāko daļu darba (novērtējumu, dokumentu izstrādi, rīcības plānu) veic mūsu auditori. Jūsu komandas tiek iesaistītas galvenokārt sākotnējā ievirzes intervijā un prezentāciju punktos. Kopējais sertifikācijas procesa ilgums lielā mērā ir atkarīgs no jūsu apjoma un sākotnējā brieduma līmeņa; tas tiek novērtēts individuāli piedāvājumā.
Kāpēc SYAGA ir kompetenta mani atbalstīt?
SYAGA Consulting kopš 2009. gada veic informācijas sistēmu drošības auditus. Mūsu auditori strādā ar dažāda lieluma klientiem vairākās nozarēs. ISO27001-Express izmantotā atšķirību novērtējuma un dokumentu ģenerēšanas metodoloģija balstās uz to pašu mehānismu, ko izmantojam citos atbilstības atbalsta pakalpojumos (PSSI-Express).
SYAGA jūs pavada jūsu ISVS un sertifikācijas lietas sagatavošanā. Pašu ISO/IEC 27001 sertifikāciju izsniedz neatkarīga akreditēta sertifikācijas institūcija, kas nav saistīta ar SYAGA. Šis saturs ir atbalsta rīks un nav juridisks atzinums.

Gatavi strukturēt savu ISO 27001 procesu?

Sazinieties ar mums individuālam piedāvājumam atbilstoši jūsu apjomam un pašreizējam brieduma līmenim.

Normatīvā uzraudzība - oficiāli avoti

Tas, ko tiešām saka ISO/IEC 27001, vienkārši izskaidrots. Katrs punkts atsaucas uz savu oficiālo avotu (ISO, AFNOR, COFRAC, ANSSI), atjaunināts 17.07.2026.

Kas tas konkrēti ir?

ISO/IEC 27001 ir atzīta metode, lai atklātu draudus, kas apdraud jūsu datus, pārvaldītu riskus un ieviestu pareizo aizsardzību, lai jūsu informācija paliktu konfidenciāla, pieejama un uzticama. Tā nav programmatūra, tā ir organizācija, kas jāievieš uzņēmumā.

Avots: AFNOR Certification

Tā ir izvēle, nevis likums

Atšķirībā no citiem procesiem (kā drošības akreditācija, kas obligāta dažām valsts sistēmām), ISO 27001 ir izvēles: tas ir sertificējošs standarts, nevis vispārējs normatīvs pienākums. Jūs to izvēlaties, lai nomierinātu klientus, partnerus un apdrošinātājus.

Avots: ANSSI (Francijas iestāde, metodes lapa)

Kas izsniedz sertifikātu?

Nekad pats uzņēmums, ne konsultants: tikai neatkarīga un akreditēta sertifikācijas institūcija to var izsniegt (COFRAC ir vienīgā Francijas akreditācijas iestāde, izveidota 1994. gadā). Iegūtais sertifikāts ir derīgs 3 gadus.

Avots: COFRAC (Francijas iestāde)

Process 6 posmos

Iepriekšējs novērtējums (izvēles), sagatavošana, dokumentu pārskatīšana, audits uz vietas, lai pārbaudītu, kas tiešām ir ieviests, sertifikāta izsniegšana (3 gadi), tad ikgadēja kontroles vizīte un pilns atjaunošanas audits pēc 3 gadiem. Nekas nav fiksēts vienreiz un uz visiem laikiem.

Avots: AFNOR Certification

Vai tas tiešām atmaksājas?

Saskaņā ar AFNOR pētījumu, kas veikts sertificētu uzņēmumu vidū: 89% konstatēja mazāk drošības incidentu, 83% ir stiprāki iekšējie drošības procesi, un 88% saglabāja klientus, kas bez sertifikācijas varētu būt aizgājuši.

Avots: AFNOR pētījums, 2019

Atzīta visur, ne tikai Francijā

Tas ir pasaulē visvairāk izmantotais informācijas drošības standarts, saskaņā ar pašu ISO. Un akreditācija, kas kontrolē sertifikācijas institūcijas (kā COFRAC Francijā), ir starptautiski atzīta caur nolīgumiem starp valstīm, kas atvieglo piekļuvi tirgiem Eiropā un citur.

Avots: ISO (komiteja JTC1/SC27)