ISO/IEC 27001 on infoturbe halduse süsteemi (ISMS) rahvusvaheline viitestandard. Seda nõuavad üha enam tellijad, hankemenetlused, küberkindlustuse pakkujad või juurdepääs teatud eksporditurgudele. SYAGA toetab teid alates vastavuslünkade hindamisest kuni sertifitseerimisauditi ettevalmistamiseni.
ISO 27001 ei ole üldine õiguslik kohustus, kuid sellest saab üha enam vältimatu ärieeldus
ISO/IEC 27001 jääb vabatahtlikuks protsessiks. Seda nõutakse siiski üha enam hankemenetlustes, suurte tellijate poolt, teatud küberkindlustuse pakkujate poolt või eeldusena juurdepääsuks teatud eksporditurgudele.
Enamik VKE-sid ja kesksuurusega ettevõtteid ei ole alustanud infoturbe halduse süsteemi struktureeritud protsessi. Teemat peetakse keeruliseks, tehniliseks ja pikaks.
Tavapärased sertifitseerimisprojektid hõivavad teie meeskondi mitmeks kuuks ja tähendavad märkimisväärset investeeringut, mis on sageli VKE jaoks kättesaamatu.
IT-juhi või turbevastutaja hõivamine kuudeks ISMS-i loomiseks ei ole VKE-s jätkusuutlik, kus igaüks kannab juba mitut rolli.
Struktureeritud protsess 3 etapis, tuginedes samale metoodikale, mida SYAGA on juba tõestanud PSSI-Expressis
Ulatuse määratlemise intervjuu juhtkonna ja infosüsteemi vastutajaga, seejärel A-lisa (2022. a väljaanne) kõigi 93 turbemeetme süstemaatiline hindamine, jaotatud 4 teemaks: organisatsiooniline, inimressursi, füüsiline ja tehnoloogiline. Faktilise lünkade raporti esitamine.
Turvapoliitika (ISMS) koostamine või uuendamine, kohaldatavuse deklaratsiooni (KD) koostamine, mis põhjendab kõigi 93 meetme kohaldamist või välistamist, ning prioritiseeritud parandusplaani koostamine faasis 1 tuvastatud lünkade kõrvaldamiseks.
Parandusplaani rakendamise jälgimine, dokumentide ülevaatus ning teie meeskonna ettevalmistamine auditiks, mille viib läbi sõltumatu akrediteeritud sertifitseerimisorganisatsioon. SYAGA valmistab teid auditiks ette; sertifikaadi väljastab see kolmandast osapoolest organisatsioon.
ISO 27001 sertifitseerimistoimiku struktureerivad dokumendid
Teie vastavustaseme faktiline hindamine standardi suhtes.
ISO 27001 sertifitseerimistoimiku keskne normatiivne dokument.
Standardi klauslite 4-10 poolt nõutav juhtimisdokument.
Tegevuskava tuvastatud lünkade kõrvaldamiseks.
Dokumendid, mida teie meeskonnad saavad otse rakendada.
Kõik dokumendid formaatides, mida saate edasi arendada.
ISO 27001 ISMS kattub loomulikult mitme raamistikuga
Keskne raamistik: klauslid 4-10 (juhtimisnõuded) ja A-lisa (93 turbemeedet, jaotatud 4 teemasse).
NIS2 direktiivi poolt nõutavad küberriski juhtimise meetmed kattuvad suurel määral ISO 27001 A-lisa meetmetega. ISO 27001 ISMS hõlbustab puudutatud üksuste NIS2 vastavusse viimist.
ANSSI (Prantsusmaa küberturbeameti) IT-hügieeni juhendi meetmed kattuvad suurel määral ISO 27001 A-lisa meetmetega. Vastavus dokumenteeritud parandusplaanis.
GDPR artikli 32 poolt nõutavad asjakohased tehnilised ja korralduslikud meetmed tuginevad samadele headele tavadele mis ISO 27001 A-lisa (juurdepääsukontroll, krüpteerimine, intsidentide haldus).
Iga ISO 27001 projekt on mõõdustatud vastavalt teie ulatusele ja praegusele küpsusele. Alati personaalne hinnapakkumine.
Teie lünkade esialgne ülevaade
Vastavuslünkade hindamisest kuni auditi ettevalmistamiseni
Pärast sertifitseerimist või pidevalt
Võtke meiega ühendust personaalse hinnapakkumise saamiseks vastavalt teie ulatusele ja praegusele küpsusele.
Mida ISO/IEC 27001 tegelikult ütleb, lihtsalt selgitatud. Iga punkt viitab ametlikule allikale (ISO, AFNOR, COFRAC, ANSSI), uuendatud 17.07.2026.
ISO/IEC 27001 on tunnustatud meetod teie andmeid ohustavate ohtude tuvastamiseks, riskide kontrollimiseks ja õigete kaitsemeetmete rakendamiseks, et teie teave jääks konfidentsiaalseks, kättesaadavaks ja usaldusväärseks. See ei ole tarkvara, vaid organisatsioon, mis tuleb ettevõttes luua.
Allikas: AFNOR Certification (prantsuse amet)Erinevalt teistest protsessidest (näiteks teatud riigi süsteemidele kohustuslik turvahomologatsioon) on ISO 27001 vabatahtlik: see on sertifitseeriv standard, mitte üldine regulatiivne kohustus. Te valite selle, et rahustada kliente, partnereid ja kindlustusandjaid.
Allikas: ANSSI (prantsuse amet, metoodikaleht)Mitte kunagi ettevõte ise ega konsultant: ainult sõltumatu ja akrediteeritud sertifitseerimisorganisatsioon saab selle väljastada (COFRAC on Prantsusmaa ainus akrediteerimisasutus, loodud 1994. aastal). Saadud sertifikaat kehtib 3 aastat.
Allikas: COFRAC (prantsuse amet)Eelhindamine (valikuline), ettevalmistus, dokumentide ülevaatus, kohapealne audit, et kontrollida, mis on tegelikult rakendatud, sertifikaadi väljastamine (3 aastaks), seejärel iga-aastane kontrollkülastus ja täielik uuendusaudit 3 aasta pärast. Miski ei jää lõplikult fikseerituks.
Allikas: AFNOR CertificationAFNOR-i uuringu kohaselt, mis viidi läbi sertifitseeritud ettevõtete seas: 89% täheldas vähem turvaintsidente, 83%-l on tugevamad sisemised turbeprotsessid ja 88% säilitas kliente, kes ilma sertifikaadita oleksid võinud lahkuda.
Allikas: AFNOR uuring 2019See on ISO enda andmetel maailma enim kasutatav infoturbestandard. Ja akrediteerimine, mis kontrollib sertifitseerimisorganisatsioone (nagu COFRAC Prantsusmaal), on riikidevaheliste kokkulepete kaudu rahvusvaheliselt tunnustatud, mis hõlbustab juurdepääsu turgudele Euroopas ja mujal.
Allikas: ISO (komitee JTC1/SC27)