Certyfikacja ISO 27001
Certyfikacja systemu zarządzania - ISO 27001
14 października 2005 r. została opublikowana norma ISO / IEC 27001 (wcześniej znana jako brytyjska norma BS 7799-2; polskie tłumaczenie PN-I-07799-2:2005) jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą są wydawane certyfikaty.
Norma ISO /IEC 27001 jest odpowiednia dla wszystkich przedsiębiorców bez względu na charakter ich działalności i zawiera wymagania, których spełnienie stanowi podstawę przyznania Certyfikatu ISO 27001.
Zasady certyfikacji ISO 27001
Certyfikat wydany przez niezależną jednostkę certyfikującą akredytowaną zapewnia, że system zarządzania bezpieczeństwem informacji jest ustanowiony,udokumentowany, stosowany oraz utrzymywany zgodnie z wymaganiami ISO 27001
Korzyści
Zastosowanie ISO 27001 pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa informacji koncentrując się na sferze organizacyjnej oraz kontrolując obszary zwiększonego ryzyka, takie jak:
- dostępność, czyli zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne
- integralność, czyli zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania
- poufność, czyli zapewnienie dostępu do informacji tylko osobom upoważnionym
Dostępność, integralność i poufność informacji ma podstawowe znaczenie dla utrzymania i zwiększenia konkurencyjności:
- zgodności z przepisami prawa (np. Ustawa o ochronie danych osobowych i jej pochodnych)
- rentowności
- wydajności (skuteczności działania)
- wizerunku firmy
- płynności finansowej
Certyfikacja przez akredytowaną jednostkę certyfikującą
- Ocena i rejestracja wniosku o certyfikację.
- Wyznaczenie terminu przeprowadzenia certyfikacji (audytu certyfikacyjnego jest prowadzone w dwóch etapach).
- Powołanie zespołu audytorów.
- Plan kontroli procesu.
Ocena systemu w etapach:
- przegląd dokumentacji klienta,
- badanie stanu faktycznego na miejscu u klienta.
Raport z audytu certyfikacyjnego, ocena sprawozdania z audytu przez jednostkę certyfikującą i wydanie certyfikatu.
Uwagi
Certyfikat jest ważny przez 3 lata ale co roku jest prowadzony audyt nadzoru. Wyniki z audytu nadzoru są potwierdzeniem ważności certyfikatu i sprawdzeniem stosowania przyjętych standardów. W przypadku stwierdzenia istotnych odchyleń (niezgodności z normą) certyfikat może być cofnięty.
