Informacijos ir kibernetinio saugumo valdymas

Informacijos saugumo valdymo sistemos (ISVS) atnaujinimo pagal standartą ISO/IEC 27001:2022 paslaugos

Paslauga

ISO 27001 yra tarptautinis standartas, kurį įgyvendinus sukuriama patikima informacijos saugumo valdymo sistema (toliau – ISVS), kuri saugo informacijos konfidencialumą, vientisumą ir prieinamumą, taikydama rizikų valdymo procesą ir užtikrina suinteresuotąsias šalis, kad rizikos yra tinkamai valdomos.

buvo išleistas atnaujintas tarptautinis standartas ISO/IEC 27001:2022 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo valdymo sistemos. Reikalavimai“ (toliau – ISO/IEC 27001:2022).

Tarptautinis akreditavimo forumas nustatė bendras sąlygas, kad:

  • Nuo pirminio ir pakartotinio sertifikavimo auditai bus atliekami tik pagal ISO/IEC 27001:2022
  • Akredituoti sertifikatai pagal standartą ISO/IEC 27001:2017 nuo neteks galios
  • Visi sertifikavimo sprendimai dėl esamo standarto ISO/IEC 27001:2017 sertifikavimo perėjimo turi būti baigti ne vėliau kaip iki , priešingu atveju turės būti atliktas naujas pilnas pirminisnaujas pilnas pirminis sertifikavimas

Organizacijos, siekiančios pereiti prie standarto ISO/IEC 27001:2022 reikalavimų ir pasirengti sertifikavimui, turi įsivertinti esamą ISVS ir atnaujinti pagal standarto ISO/IEC 27001:2022 reikalavimus.

Organizacijos standarto ISO/IEC 27001:2022 reikalavimų įgyvendinimui gali pasirengti savarankiškai arba pasinaudoti mūsų teikiama paslauga – Informacijos saugumo valdymo sistemos (ISVS) atnaujinimo pagal standartą ISO 27001:2022 paslauga.

Eiga

  • Atliekame organizacijos trūkumų (atotrūkio) standarto ISO/IEC 27001:2022 reikalavimams vertinimo (GAP) analizę (naujiems klientams)
  • Rengiame ISVS atnaujinimo planą, rengiamų ir atnaujinamų ISVS politikų ir tvarkų sąrašą
  • Rengiame/atnaujiname taikomumo pareiškimą, informacijos saugumo politiką bei jos įgyvendinimą reglamentuojančias politikas ir tvarkas pagal standarto ISO/IEC 27001:2022 reikalavimus
  • Atliekame papildomą informacijos saugumo rizikos vertinimą, kurio metu atliekame IRT veiklos poveikio verslui analizę (angl. Business impact analysis – BIA), nustatome ir su informacinių išteklių savininkais suderiname RPO – toleruotinus duomenų praradimo dydžius (angl. Recovery Point Objective) ir RTO – minimalius paslaugų atstatymo laiko intervalus (angl. Recovery Time Objective), pagal poreikį atnaujiname rizikos valdymo priemonių planą
  • Atnaujiname ISVS stebėjimo, matavimo ir kontrolės planą
  • Organizuojame organizacijos darbuotojų supažindinimą su ISVS pasikeitimais
  • Pagal poreikį atliekame kitas veiklas (ISVS vidaus auditą, vadovybės vertinamąją analizę ir kt.)
  • Pagal poreikį padedame pasirengti resertifikavimo ir/ar priežiūros auditams ir suteikiame pagalbą jų metu

Rezultatas

  • Parengta trūkumų (atotrūkio) ISO 27001 reikalavimams vertinimo (GAP) analizės ataskaita
  • Parengtas ISVS atnaujinimo planas bei rengiamų ISVS politikų ir tvarkų sąrašas
  • Parengtas atnaujintas taikomumo pareiškimas, informacijos saugumo politika ir jos įgyvendinimą reglamentuojančias politikos ir tvarkos pagal standarto ISO/IEC 27001:2022 reikalavimus
  • Nustatytas IRT veiklos poveikis verslui bei RTO ir RPO rodikliais
  • Atnaujintas ISVS stebėjimo, matavimo ir kontrolės planas
  • Supažindinti organizacijos darbuotojai su ISVS pakeitimais

Nauda

  • Tinkamai pasirengta perėjimui prie standarto ISO/IEC 27001:2022 reikalavimų ir resertifikavimo bei priežiūros auditams
  • Darbuotojai supažindinti su ISVS pakeitimais
  • Užtikrinama atitiktis teisės aktų reikalavimams

Tinkamų ir pakankamų techninių ir organizacinių priemonių neturėjimas gali būti laikomas Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 00020 000 000 eurų.

Kontaktinis asmuo

Ernestas Lipnickas
Mob. +370 (605) 44 444
E. paštas: ernestas.lipnickas@adwisery.eu