STANDARD ISO/IEC 27001:2022 - ISMS

Valmistage ette oma ISO 27001 sertifitseerimine
ilma sellele 6 kuud kulutamata

ISO/IEC 27001 on infoturbe halduse süsteemi (ISMS) rahvusvaheline viitestandard. Seda nõuavad üha enam tellijad, hankemenetlused, küberkindlustuse pakkujad või juurdepääs teatud eksporditurgudele. SYAGA toetab teid alates vastavuslünkade hindamisest kuni sertifitseerimisauditi ettevalmistamiseni.

93
A-lisa meedet (2022. a väljaanne)
4
Turbeteemat
7
Juhtimisklauslit (4-10)
1
Üleantud kohaldatavuse deklaratsioon

Kontekst

ISO 27001 ei ole üldine õiguslik kohustus, kuid sellest saab üha enam vältimatu ärieeldus

📋

Vabatahtlik sertifikaat, kuid üha enam nõutav

ISO/IEC 27001 jääb vabatahtlikuks protsessiks. Seda nõutakse siiski üha enam hankemenetlustes, suurte tellijate poolt, teatud küberkindlustuse pakkujate poolt või eeldusena juurdepääsuks teatud eksporditurgudele.

🔒

Vähesed VKE-d on oma ISMS-i vormistanud

Enamik VKE-sid ja kesksuurusega ettevõtteid ei ole alustanud infoturbe halduse süsteemi struktureeritud protsessi. Teemat peetakse keeruliseks, tehniliseks ja pikaks.

💰

Pikk ja kulukas tugi

Tavapärased sertifitseerimisprojektid hõivavad teie meeskondi mitmeks kuuks ja tähendavad märkimisväärset investeeringut, mis on sageli VKE jaoks kättesaamatu.

Teie IT-meeskonnad on juba ülekoormatud

IT-juhi või turbevastutaja hõivamine kuudeks ISMS-i loomiseks ei ole VKE-s jätkusuutlik, kus igaüks kannab juba mitut rolli.

ISO27001-Express metoodika

Struktureeritud protsess 3 etapis, tuginedes samale metoodikale, mida SYAGA on juba tõestanud PSSI-Expressis

1
Faas 1 - Vastavuslünkade hindamine

93 A-lisa meetme hindamine

Ulatuse määratlemise intervjuu juhtkonna ja infosüsteemi vastutajaga, seejärel A-lisa (2022. a väljaanne) kõigi 93 turbemeetme süstemaatiline hindamine, jaotatud 4 teemaks: organisatsiooniline, inimressursi, füüsiline ja tehnoloogiline. Faktilise lünkade raporti esitamine.

2
Faas 2 - ISMS dokumenteerimine

Turvapoliitika, kohaldatavuse deklaratsioon ja parandusplaan

Turvapoliitika (ISMS) koostamine või uuendamine, kohaldatavuse deklaratsiooni (KD) koostamine, mis põhjendab kõigi 93 meetme kohaldamist või välistamist, ning prioritiseeritud parandusplaani koostamine faasis 1 tuvastatud lünkade kõrvaldamiseks.

3
Faas 3 - Tugi sertifitseerimiseni

Sertifitseerimisorganisatsiooni auditi ettevalmistamine

Parandusplaani rakendamise jälgimine, dokumentide ülevaatus ning teie meeskonna ettevalmistamine auditiks, mille viib läbi sõltumatu akrediteeritud sertifitseerimisorganisatsioon. SYAGA valmistab teid auditiks ette; sertifikaadi väljastab see kolmandast osapoolest organisatsioon.

Mida te saate

ISO 27001 sertifitseerimistoimiku struktureerivad dokumendid

📊

Vastavuslünkade raport

Teie vastavustaseme faktiline hindamine standardi suhtes.

  • 93 A-lisa meetme hindamine
  • Staatus meetme kaupa: vastav / osaline / mittevastav
  • Kokkuvõte teemade kaupa (organisatsiooniline, inimressursi, füüsiline, tehnoloogiline)
  • Faktilised tähelepanekud, ilma väärtushinnanguta
🔐

Kohaldatavuse deklaratsioon (KD)

ISO 27001 sertifitseerimistoimiku keskne normatiivne dokument.

  • Kohaldatava/välistatud staatus kõigi 93 meetme kohta
  • Iga välistuse põhjendus
  • Viide ISMS dokumentidele
  • Valmis esitamiseks sertifitseerimisorganisatsioonile
📝

Turvapoliitika (ISMS)

Standardi klauslite 4-10 poolt nõutav juhtimisdokument.

  • ISMS-i ulatus ja kontekst
  • Turbealased rollid ja vastutused
  • Riskijuhtimise protsess
  • Pideva parendamise tsükkel (PDCA)
🎯

Prioritiseeritud parandusplaan

Tegevuskava tuvastatud lünkade kõrvaldamiseks.

  • Prioriteedi järgi järjestatud tegevused
  • Organisatsioonilised ja tehnilised meetmed
  • Edenemise jälgimine
  • Järkjärguline ettevalmistus auditiks
📄

Tegevusprotseduurid

Dokumendid, mida teie meeskonnad saavad otse rakendada.

  • Turvaintsidentide haldus
  • Juurdepääsude ja identiteetide haldus
  • Muudatuste haldus
  • IT-kasutuse kord
💻

Muudetavad failid

Kõik dokumendid formaatides, mida saate edasi arendada.

  • Iseseisev HTML (avatav igas brauseris)
  • Kõrgkvaliteetne PDF (A4 printimine)
  • Muudetav DOCX (Microsoft Word)
  • Uuendamine igal iga-aastasel ülevaatusel

Ühiskasutatav dokumentatsiooni alus

ISO 27001 ISMS kattub loomulikult mitme raamistikuga

ISO

ISO/IEC 27001:2022

Keskne raamistik: klauslid 4-10 (juhtimisnõuded) ja A-lisa (93 turbemeedet, jaotatud 4 teemasse).

N2

Sild NIS2-ga

NIS2 direktiivi poolt nõutavad küberriski juhtimise meetmed kattuvad suurel määral ISO 27001 A-lisa meetmetega. ISO 27001 ISMS hõlbustab puudutatud üksuste NIS2 vastavusse viimist.

AN

ANSSI juhend - IT-hügieen (prantsuse amet)

ANSSI (Prantsusmaa küberturbeameti) IT-hügieeni juhendi meetmed kattuvad suurel määral ISO 27001 A-lisa meetmetega. Vastavus dokumenteeritud parandusplaanis.

RG

GDPR (art. 32)

GDPR artikli 32 poolt nõutavad asjakohased tehnilised ja korralduslikud meetmed tuginevad samadele headele tavadele mis ISO 27001 A-lisa (juurdepääsukontroll, krüpteerimine, intsidentide haldus).

Teie kontekstile kohandatud pakkumised

Iga ISO 27001 projekt on mõõdustatud vastavalt teie ulatusele ja praegusele küpsusele. Alati personaalne hinnapakkumine.

Vastavuslünkade hindamine

Teie lünkade esialgne ülevaade

Hinnapakkumisel
olenevalt ulatusest ja töötajate arvust
  • 93 A-lisa meetme hindamine
  • Faktilise tähelepaneku raport
  • Kokkuvõte turbeteemade kaupa
  • Esitlus juhtkonnale
  • HTML + PDF + DOCX formaadid
Küsi pakkumist

Iga-aastane hooldus

Pärast sertifitseerimist või pidevalt

Hinnapakkumisel
olenevalt ulatusest ja töötajate arvust
  • ISMS iga-aastane ülevaatus
  • KD uuendamine
  • Parandusplaani ajakohastamine
  • Ettevalmistus järelevalveaudititeks
Küsi pakkumist

Korduma kippuvad küsimused

Mis on standard ISO/IEC 27001?
ISO/IEC 27001 on infoturbe halduse süsteemi (ISMS) loomise rahvusvaheline viitestandard. 2022. aasta väljaandes on see struktureeritud klauslitesse 4-10 (juhtimisnõuded: kontekst, juhtimine, planeerimine, tugi, toimimine, hindamine, parendamine) ja A-lisasse, mis sisaldab 93 turbemeedet, jaotatud 4 teemasse: organisatsiooniline, inimressursi, füüsiline ja tehnoloogiline.
Kas ISO 27001 on minu ettevõtte jaoks kohustuslik?
Ei, ISO 27001 on vabatahtlik sertifikaat, erinevalt sellistest regulatiivsetest tekstidest nagu NIS2. Seevastu nõutakse seda de facto üha enam: hankemenetlused, suurte tellijate nõuded, küberkindlustuse tingimused või juurdepääs teatud eksporditurgudele. See on pigem strateegiline valik kui üldine õiguslik kohustus.
Kas SYAGA väljastab sertifikaadi?
Ei. ISO 27001 sertifikaadi väljastab eranditult sõltumatu akrediteeritud sertifitseerimisorganisatsioon, pärast välist auditit. SYAGA toetab teid ettevalmistamisel (vastavuslünkade hindamine, ISMS dokumenteerimine, parandusplaan, teie meeskondade ettevalmistamine), kuid ei väljasta ise sertifikaati.
Mis on kohaldatavuse deklaratsioon (KD)?
KD on sertifitseerimistoimiku kohustuslik normatiivne dokument. See loetleb kõik A-lisa 93 meedet ja täpsustab, kas see on kohaldatud või välistatud, koos vastava põhjendusega. See on üks enim kontrollitud dokumente sertifitseerimisauditi ajal.
Kui palju pean oma meeskondi hõivama?
Suurema osa tööst (hindamine, dokumentide koostamine, parandusplaan) teevad meie audiitorid. Teie meeskondi kaasatakse peamiselt esialgse ulatuse määratlemise intervjuu ja esitluste ajal. Sertifitseerimisprotsessi kogukestus sõltub suuresti teie ulatusest ja algsest küpsusest; seda hinnatakse igal juhul eraldi hinnapakkumises.
Miks on SYAGA pädev mind toetama?
SYAGA Consulting on teostanud infosüsteemide turvaauditit alates 2009. aastast. Meie audiitorid tegutsevad erineva suurusega klientide juures mitmes sektoris. ISO27001-Expressi jaoks kasutatav vastavuslünkade hindamise ja dokumentide genereerimise metoodika tugineb samale mootorile, mida kasutatakse meie teistes vastavustoetustes (PSSI-Express).
SYAGA toetab teid oma ISMS-i ja sertifitseerimistoimiku ettevalmistamisel. ISO/IEC 27001 sertifikaadi ise väljastab sõltumatu akrediteeritud sertifitseerimisorganisatsioon, mis ei ole SYAGA-ga seotud. See sisu on tugivahend ega kujuta endast õigusnõustamist.

Valmis oma ISO 27001 protsessi struktureerima?

Võtke meiega ühendust personaalse hinnapakkumise saamiseks vastavalt teie ulatusele ja praegusele küpsusele.

Õigusaktide jälgimine - ametlikud allikad

Mida ISO/IEC 27001 tegelikult ütleb, lihtsalt selgitatud. Iga punkt viitab ametlikule allikale (ISO, AFNOR, COFRAC, ANSSI), uuendatud 17.07.2026.

Mis see konkreetselt on?

ISO/IEC 27001 on tunnustatud meetod teie andmeid ohustavate ohtude tuvastamiseks, riskide kontrollimiseks ja õigete kaitsemeetmete rakendamiseks, et teie teave jääks konfidentsiaalseks, kättesaadavaks ja usaldusväärseks. See ei ole tarkvara, vaid organisatsioon, mis tuleb ettevõttes luua.

Allikas: AFNOR Certification (prantsuse amet)

See on valik, mitte seadus

Erinevalt teistest protsessidest (näiteks teatud riigi süsteemidele kohustuslik turvahomologatsioon) on ISO 27001 vabatahtlik: see on sertifitseeriv standard, mitte üldine regulatiivne kohustus. Te valite selle, et rahustada kliente, partnereid ja kindlustusandjaid.

Allikas: ANSSI (prantsuse amet, metoodikaleht)

Kes väljastab sertifikaadi?

Mitte kunagi ettevõte ise ega konsultant: ainult sõltumatu ja akrediteeritud sertifitseerimisorganisatsioon saab selle väljastada (COFRAC on Prantsusmaa ainus akrediteerimisasutus, loodud 1994. aastal). Saadud sertifikaat kehtib 3 aastat.

Allikas: COFRAC (prantsuse amet)

Protsess 6 etapis

Eelhindamine (valikuline), ettevalmistus, dokumentide ülevaatus, kohapealne audit, et kontrollida, mis on tegelikult rakendatud, sertifikaadi väljastamine (3 aastaks), seejärel iga-aastane kontrollkülastus ja täielik uuendusaudit 3 aasta pärast. Miski ei jää lõplikult fikseerituks.

Allikas: AFNOR Certification

Kas see tasub end tegelikult ära?

AFNOR-i uuringu kohaselt, mis viidi läbi sertifitseeritud ettevõtete seas: 89% täheldas vähem turvaintsidente, 83%-l on tugevamad sisemised turbeprotsessid ja 88% säilitas kliente, kes ilma sertifikaadita oleksid võinud lahkuda.

Allikas: AFNOR uuring 2019

Tunnustatud kõikjal, mitte ainult Prantsusmaal

See on ISO enda andmetel maailma enim kasutatav infoturbestandard. Ja akrediteerimine, mis kontrollib sertifitseerimisorganisatsioone (nagu COFRAC Prantsusmaal), on riikidevaheliste kokkulepete kaudu rahvusvaheliselt tunnustatud, mis hõlbustab juurdepääsu turgudele Euroopas ja mujal.

Allikas: ISO (komitee JTC1/SC27)