ISO 27001

Предлаганите услуги по ISO27001

ISO / IEC 27001: 2013 (известен също като ISO27001) е международният стандарт, който определя спецификацията за ISMS (Система за управление на информационната сигурност).

Независимата акредитирана сертификация по Стандарта се признава по целия свят като индикация, че Вашата Система за управление на информационната сигурност е съобразена с най-добрите практики за информационна сигурност.

Част от серията стандарти за информационна сигурност ISO 27000, ISO 27001 е неутрална по отношение на технологиите и приложима за всички организации - независимо от техния размер, вид или естество.

Пълният набор от консултантските услуги на „ИС Консулт Сървис" ЕООД за постигане на сертификация по ISO 27001 е идеален вариант за малки и средни предприятия, които искат консултант да изпълни по-голямата част от работата от тяхно име. Това е най-добрият вариант за компании, които имат ограничени ресурси или кратък срок за получаване на сертификат. Напълно управляваният процес на сертифициране е полезен за компаниите, които искат да подобрят сигурността си, но не непременно искат да набират екипи от хора, които да започнат вътрешни проекти.

Какво включва тази консултантска услуга?

Ако изберете тази услуга вие подписвате пълен пакет за пълна консултантска подкрепа. При този подход консултанта ще извърши по-голямата част от работата (до 80%), докато клиентът все още ще играе важна роля във вземането на решения в проекта.

"ИС Консулт Сървис" ЕООД обхваща всички области на ISO 27001, които са изброени по-долу;

  • Политика за информационна сигурност на компанията (Company Information Security Policies)
  • Организация на информационната сигурност (Organization of Information Security)
  • Сигурност на човешките ресурси (Human Resource Security)
  • Управление на активи (Asset Management)
  • Контрол на достъпа (Access Control)
  • Криптография (Cryptography)
  • Физическа сигурност (Physical and environmental security)
  • Операция "Сигурност" (Operation Security)
  • Комуникационна и мрежова сигурност (Telecommunication security)
  • Придобиване, развитие и поддръжка на системата (System acquisition, development and maintenance)
  • Връзки между доставчиците (Supplier relationships)
  • Управление на инциденти по сигурността на информацията (Information security incident management)
  • Аспекти на информационната сигурност при управлението на непрекъснатостта на бизнеса (Information security aspects of business continuity management)
  • Съответствие (Compliance)

Как ще го постигнем ?

1. Анализ на пропуските на място
В началото на проекта нашият консултант ще извърши анализ на състоянието на вашата организация спрямо ISO 27001 (тип Gap analyze), включително ще бъде изготвен и доклад.

2. Управление и координация на проекти
С дефинираните пропуски ще Ви предоставим 3 - 4-месечен проектен план разделен на седмици, , който ще показват задачи, срокове от началото до края и отговорните лица за изпълнение на дейностите. Нашият консултант ще управлява проекта от началото до края.

3. Обучение на място
В началото на проекта ще осигурим обучение по ISO 27001 за вашите мениджъри и всички необходими заинтересовани лица засегнати от проекта за съответствие със стандарта.

4. Примерен набор от документи [Работни примери]
Ще получите достъп до набор от шаблони за документация, които ще ви помогнат по време на проекта и това ще ви помогне да спестите време.

5. Коучинг и менторски разговори с нашият консултант
По време на проекта ще имате достъп до коучинг и менторски разговори с Консултанта (според изискванията).

6. Професионална ISMS документация
Нашият консултант ще ръководи подготовката и генерирането на документацията, необходима за успешното сертифициране по ISO 27001.

7. Вътрешен одит и преглед на управлението
Нашият консултант ще проведе вътрешен одит, необходим преди сертификационния одит на Фаза 1. За ваше улеснение този консултант ще организира среща с цел преглеждане на мениджърското управление и текущата интеграция по ISO27001.

8. Поддръжка на изпълнението на място
С приключването на проекта, нашият консултант ще осигури подкрепа по време на фазата на изпълнение на проекта.

9. Координация на регистратора
Нашият консултант може да ви помогне да получите оферти от акредитирани сертификационни фирми които издават окончателният документ за съответствие с ISO27001. Вие вземате окончателното решение!

10. Възможност за обаждания и помощ при външно одитиране от сертификационната фирма.
По време на външните одити нашият консултант ще бъде на ваше разположение, ако вие или одиторът на акредитираната сертификационна фирма има някакви въпроси и се нуждаете от допълнителна помощ.

Частично управляваните услуги дават възможност на организациите да получат подкрепа в отделни области на стандарта, за да подсигурят подсилят текущият персонал в техните сертификационни усилия ISO27001: 2013. Ние често предоставяме консултантска услуга по ISO 27001, която предоставя подгрупа от контроли, които варират от оценки на риска, технически оценки, консултиране на теми като физическа и/или логическа сигурност и всички други свързани със стандарта.

Частично управляваната услуга е полезна за компании, които може да нямат опит в процеса на сертифициране ISO27001, нямат опит при оценка на риска или нямат необходимите технически умения във някоя от главите от стандарта.

Какво включва тази консултантска услуга?

Ако изберете тази услуга вие подписвате пълен пакет за пълна консултантска подкрепа. При този подход консултанта ще извърши по-голямата част от работата (до 80%), докато клиентът все още ще играе важна роля във вземането на решения в проекта.

"ИС Консулт Сървис" ЕООД обхваща всички области на ISO 27001, които са изброени по-долу;

  • Политика за информационна сигурност на компанията (Company Information Security Policies)
  • Организация на информационната сигурност (Organization of Information Security)
  • Сигурност на човешките ресурси (Human Resource Security)
  • Управление на активи (Asset Management)
  • Контрол на достъпа (Access Control)
  • Криптография (Cryptography)
  • Физическа сигурност (Physical and environmental security)
  • Операция "Сигурност" (Operation Security)
  • Комуникационна и мрежова сигурност (Telecommunication security)
  • Придобиване, развитие и поддръжка на системата (System acquisition, development and maintenance)
  • Връзки между доставчиците (Supplier relationships)
  • Управление на инциденти по сигурността на информацията (Information security incident management)
  • Аспекти на информационната сигурност при управлението на непрекъснатостта на бизнеса (Information security aspects of business continuity management)
  • Съответствие (Compliance)

Използвайки нашата методология за оценка, планиране, предоставяне на процедури и подобряване можем да интегрираме информационната и физическа сигурност ефективно и ефикасно във всяка организация.

Нашите консултанти имат богат опит с ISO 27001 като водещи одитори и сертифицирани интегратори и изпълнители. Това гарантира, че ние отговаряме на изискванията на нашите клиенти и можем да осигурим подкрепа с добавена стойност, използвайки нашата проницателност и опит в индустрията, за да отговорим на изискванията за сертифициране на стандарта.

Вътрешните одити се провеждат от вътрешен екип или външни изпълнители, въз основа на предварително зададен обхват спрямо ISO27001. Външните одити се извършват от сертифициращи органи с различни цикли. Някои сертифициращи органи извършват преоценка на всеки шест месеца след сертифицирането, известни като надзорни одити. Като цяло последният надзорен одит може да се нарече и ресертификационен одит. Сертификатът се издава за период от 3 години, като на всеки 6 месеца е задължително да се прави „вътрешен одит“, които може да бъде изпълнен както от вътрешен екип така и от външна фирма.

„ИС Консулт Сървис" ЕООД може да провежда вътрешни одити по ISO27001: 2013, които са задължително изискване на стандарта. Ако една от вашите бариери е просто липса на познания по техники за одит или как да се одитират специализирани области спрямо ISO27001. Ние можем да Ви подкрепим в разработването на цялостна програма за вътрешен одит, както и да провеждаме специфични одити от Ваше име. Също така можем да Ви подпомогнем непрекъснато да оценявате независимо своите контроли спрямо изискванията на стандарта.

ISO27001 одитите ще се фокусират върху работата на СУИС, като те могат да бъдат ориентирани към процедурите, документите, ИТ контролите и/или не-ИТ процесите в компанията, например:

  • процедури за управление на документи;
  • процес на превантивни и коригиращи действия и приложимите контроли;
  • Администрация на потребителски акаунти;
  • процес на контрол на промяната;
  • доставка на услуги от трета страна;
  • набиране и прекратяване на работата на персонал;
  • обучение за повишаване на осведомеността;
  • или управление на инциденти;
  • и много други подобни примери.

Ние имаме значителен опит в провеждането на одити на трети страни от името на нашите клиенти. Тези одити могат да се отнасят до конкретни аспекти или по-общи теми като подхода на доставчиците към информационната сигурност. Ако това се наложи, ние можем да управляваме и пълния вътрешен одит на ISO 27001 и ще се радваме на възможността да обсъдим вашите изисквания с вас.

Външният ISO 27001 одит е разделен на три етапа.

Етап 1 включва задълбочен преглед на основните документи и методологията, приета от организацията. Проверяват се документи като политиката за информационна сигурност на организацията, декларация за приложимост (Statement of applicability (SoA)) и план за третиране на риска (Risk Treatment Plan (RTP)). Този етап също помага на одиторите и организацията да се разбират по-добре.

Етап 2 е по-подробен и формален и включва посещение на място, където се взема решение и се проверява размерът на извадката. Много пъти това е последната фаза и сертифицирането се дава на организацията, която я изчиства успешно.

Етап 3 включва последващи прегледи или одити, за да се потвърди, че организацията остава в съответствие със стандарта. Най-добре би било вътрешните одитори да следват същия процес. Въпреки това, като част от системата, са направени много предположения и следователно, недостатък в дизайна често се пренебрегва. Вътрешният одит обикновено завършва с одит, ориентиран към контролни листове. По този начин в идеалния случай трябва да бъде ангажирана опитна трета страна, която има експертни познания в областта, за да идентифицира пропуските по метода на извадка (хора, процеси и технологии).

След сертифицирането по ISO 27001, одитът трябва да се извършва поне веднъж годишно.

Имате нужда от помощ? Връзка с нас