ISO/IEC 27001:2022 SZABVÁNY - ISMS

Készítse elő ISO 27001 tanúsítását
anélkül, hogy 6 hónapot veszítene

Az ISO/IEC 27001 a nemzetközi referenciaszabvány az információbiztonság-irányítási rendszerhez (ISMS). Egyre gyakrabban követelik meg megrendelők, pályázati kiírások, kiberbiztosítók, vagy bizonyos exportpiacokra való bejutás feltételeként. A SYAGA a gap assessmenttől a tanúsítási audit előkészítéséig kíséri Önt.

93
A melléklet szerinti intézkedés (2022-es kiadás)
4
Biztonsági témakör
7
Irányítási fejezet (4-10.)
1
Leszállított Alkalmazhatósági Nyilatkozat

A háttér

Az ISO 27001 nem általános jogi kötelezettség, de megkerülhetetlen üzleti előfeltétellé válik

📋

Önkéntes tanúsítás, de egyre inkább elvárt

Az ISO/IEC 27001 önkéntes kezdeményezés marad. Ennek ellenére egyre gyakrabban követelik meg pályázati kiírásokban, nagy megrendelők részéről, bizonyos kiberbiztosítók által, vagy bizonyos exportpiacokra való bejutás előfeltételeként.

🔒

Kevés KKV formalizálta ISMS-ét

A KKV-k és középvállalatok többsége nem indított el strukturált információbiztonság- irányítási rendszer (ISMS) kezdeményezést. A témát összetettnek, technikainak és hosszadalmasnak tekintik.

💰

Hosszú és költséges támogatási folyamatok

A klasszikus tanúsítási projektek hónapokra lekötik csapatait, és jelentős befektetést jelentenek, amely gyakran meghaladja egy KKV lehetőségeit.

Informatikai csapatai már túlterheltek

Az informatikai vezető vagy a biztonsági felelős hónapokra történő lekötése egy ISMS felépítéséhez nem életképes egy olyan KKV-ban, ahol mindenki már több szerepet is betölt.

Az ISO27001-Express módszer

Egy 3 fázisból álló strukturált folyamat, amely ugyanarra a módszertanra épül, amelyet a SYAGA már bevált a PSSI-Express keretében

1
1. fázis - Gap Assessment

Az A melléklet 93 intézkedésének értékelése

Felmérő interjú a vezetéssel és az informatikai felelőssel, majd az A melléklet (2022-es kiadás) mind a 93 biztonsági intézkedésének szisztematikus értékelése, a 4 témakör (szervezeti, emberi, fizikai és technológiai) szerint felosztva. Egy tényszerű eltérési jelentés átadása.

2
2. fázis - Az ISMS dokumentálása

Biztonsági szabályzat, Alkalmazhatósági Nyilatkozat és korrekciós terv

A biztonsági szabályzat (ISMS) megírása vagy frissítése, az Alkalmazhatósági Nyilatkozat (DdA), amely indokolja mind a 93 intézkedés alkalmazását vagy kizárását, valamint egy priorizált korrekciós terv az 1. fázisban azonosított eltérések megszüntetésére.

3
3. fázis - Támogatás a tanúsítás felé

A tanúsító szervezet auditjának előkészítése

A korrekciós terv megvalósításának nyomon követése, dokumentumfelülvizsgálat, és csapatának felkészítése egy független, akkreditált tanúsító szervezet által végzett auditra. A SYAGA felkészíti Önt az auditra; magát a tanúsítást ez a harmadik fél szervezet adja ki.

Amit Ön kap

Az ISO 27001 tanúsítási dosszié strukturáló dokumentumai

📊

Gap Assessment jelentés

A szabványnak való megfelelés szintjének tényszerű értékelése.

  • Az A melléklet 93 intézkedésének értékelése
  • Státusz intézkedésenként: megfelelő / részleges / nem megfelelő
  • Összefoglaló témakörönként (szervezeti, emberi, fizikai, technológiai)
  • Tényszerű megállapítások, értékítélet nélkül
🔐

Alkalmazhatósági Nyilatkozat (DdA)

Az ISO 27001 tanúsítási dosszié központi normatív dokumentuma.

  • Alkalmazandó/kizárt státusz mind a 93 intézkedésre
  • Minden kizárás indoklása
  • Hivatkozás az ISMS dokumentumaira
  • A tanúsító szervezet elé terjesztésre kész
📝

Biztonsági szabályzat (ISMS)

A szabvány 4-10. fejezete által megkövetelt kormányzási dokumentum.

  • Az ISMS hatóköre és kontextusa
  • Biztonsági szerepek és felelősségek
  • Kockázatkezelési folyamat
  • Folyamatos fejlesztési ciklus (PDCA)
🎯

Priorizált korrekciós terv

Az azonosított eltérések megszüntetésének ütemterve.

  • Prioritás szerint rendezett intézkedések
  • Szervezeti és technikai intézkedések
  • Előrehaladás nyomon követése
  • Fokozatos felkészülés az auditra
📄

Működési eljárások

Csapatai által azonnal alkalmazható dokumentumok.

  • Biztonsági incidensek kezelése
  • Hozzáférés- és identitáskezelés
  • Változáskezelés
  • Informatikai szabályzat
💻

Szerkeszthető fájlok

Minden dokumentum olyan formátumban, amelyet Ön továbbfejleszthet.

  • Önálló HTML (bármely böngészőben megnyitható)
  • Kiváló minőségű PDF (A4 nyomtatáshoz)
  • Szerkeszthető DOCX (Microsoft Word)
  • Frissítés minden éves felülvizsgálatkor

Egy megosztható dokumentációs alap

Az ISO 27001 ISMS természetesen több keretrendszerrel is átfedésben van

ISO

ISO/IEC 27001:2022

Központi keretrendszer: 4-10. fejezet (irányítási követelmények) és A melléklet (93, 4 témakörbe sorolt biztonsági intézkedés).

N2

Kapcsolódás a NIS2-höz

A NIS2 irányelv által megkövetelt kiberkockázat-kezelési intézkedések nagymértékben átfedésben vannak az ISO 27001 A melléklet intézkedéseivel. Egy ISO 27001 ISMS megkönnyíti a NIS2-megfelelést az érintett szervezetek számára.

AN

ANSSI útmutató - Informatikai higiénia

Az ANSSI (francia hatóság) informatikai higiéniai útmutatójának intézkedései jelentős részben átfedésben vannak az ISO 27001 A melléklet intézkedéseivel. A megfeleltetés dokumentálva van a korrekciós tervben.

RG

GDPR (32. cikk)

A GDPR 32. cikke által megkövetelt megfelelő technikai és szervezési intézkedések ugyanazokra a jó gyakorlatokra épülnek, mint az ISO 27001 A melléklete (hozzáférés-ellenőrzés, titkosítás, incidenskezelés).

Az Ön helyzetéhez igazított ajánlatok

Minden ISO 27001 projekt az Ön hatóköréhez és jelenlegi érettségi szintjéhez van méretezve. Mindig személyre szabott árajánlat.

Gap Assessment

Eltéréseinek kezdeti pillanatképe

Árajánlat alapján
hatókör és létszám szerint
  • Az A melléklet 93 intézkedésének értékelése
  • Tényszerű megállapítási jelentés
  • Összefoglaló biztonsági témakörönként
  • Bemutatás a vezetésnek
  • HTML + PDF + DOCX formátumok
Ajánlatkérés

Éves karbantartás

Tanúsítás után vagy folyamatosan

Árajánlat alapján
hatókör és létszám szerint
  • Az ISMS éves felülvizsgálata
  • A DdA frissítése
  • A korrekciós terv aktualizálása
  • Felkészülés a felügyeleti auditokra
Ajánlatkérés

Gyakran ismételt kérdések

Mi az ISO/IEC 27001 szabvány?
Az ISO/IEC 27001 a nemzetközi referenciaszabvány egy információbiztonság-irányítási rendszer (ISMS) kialakításához. 2022-es kiadásában a 4-10. fejezetekre (irányítási követelmények: kontextus, vezetés, tervezés, támogatás, működés, értékelés, fejlesztés) és egy A mellékletre épül, amely 93, 4 témakörbe (szervezeti, emberi, fizikai és technológiai) sorolt biztonsági intézkedést tartalmaz.
Kötelező az ISO 27001 a vállalatom számára?
Nem, az ISO 27001 önkéntes tanúsítás, ellentétben olyan szabályozási szövegekkel, mint a NIS2. Ugyanakkor a gyakorlatban egyre inkább elvárt: pályázati kiírások, nagy megrendelők követelményei, kiberbiztosítási feltételek, vagy bizonyos exportpiacokra való bejutás. Ez inkább stratégiai döntés, mint általános jogi kötelezettség.
A SYAGA adja ki a tanúsítást?
Nem. Az ISO 27001 tanúsítást kizárólag egy független, akkreditált tanúsító szervezet adja ki, egy külső audit végén. A SYAGA a felkészülésben kíséri Önt (gap assessment, az ISMS dokumentálása, korrekciós terv, csapatai felkészítése), de maga nem adja ki a tanúsítványt.
Mi az Alkalmazhatósági Nyilatkozat (DdA)?
A DdA a tanúsítási dosszié kötelező normatív dokumentuma. Felsorolja az A melléklet mind a 93 intézkedését, és megjelöli, hogy alkalmazott-e vagy kizárt, a megfelelő indoklással. Ez a tanúsítási audit során az egyik leginkább vizsgált dokumentum.
Mennyi ideig kell lekötnöm a csapataimat?
A munka nagy részét (értékelés, dokumentumszerkesztés, korrekciós terv) auditoraink végzik. Csapatait elsősorban a kezdeti felmérő interjú és a bemutatási pontok során vesszük igénybe. A tanúsítási folyamat teljes időtartama nagyban függ az Ön hatókörétől és kezdeti érettségi szintjétől; ezt eseti alapon becsüljük meg az árajánlatban.
Miben áll a SYAGA jogosultsága az Ön kísérésére?
A SYAGA Consulting 2009 óta végez informatikai rendszerbiztonsági auditokat. Auditoraink különböző méretű ügyfeleknél tevékenykednek több ágazatban. Az ISO27001-Express-hez használt gap assessment és dokumentumgenerálási módszertan ugyanarra a motorra épül, amelyet más megfelelőségi támogatásainkban (PSSI-Express) már használunk.
A SYAGA kíséri Önt ISMS-e és tanúsítási dossziéja előkészítésében. Magát az ISO/IEC 27001 tanúsítást egy független, akkreditált, a SYAGA-hoz nem kapcsolódó tanúsító szervezet adja ki. Ez a tartalom egy támogató eszköz, és nem minősül jogi tanácsnak.

Készen áll ISO 27001 folyamatának strukturálására?

Vegye fel velünk a kapcsolatot egy, az Ön hatóköréhez és jelenlegi érettségi szintjéhez igazított árajánlatért.

Jogszabályi figyelés - hivatalos források

Amit az ISO/IEC 27001 valójában mond, egyszerűen elmagyarázva. Minden pont a hivatalos forrásához (ISO, AFNOR, COFRAC, ANSSI - francia szervezetek) vezet, frissítve 2026.07.17-én.

Mi ez, a gyakorlatban?

Az ISO/IEC 27001 egy elismert módszer az adatait fenyegető veszélyek azonosítására, a kockázatok kezelésére és a megfelelő védelmi intézkedések bevezetésére, hogy információi bizalmasak, elérhetők és megbízhatók maradjanak. Ez nem szoftver, hanem egy a vállalatban kialakítandó szervezet.

Forrás: AFNOR Certification (francia tanúsító szervezet)

Ez egy választás, nem egy törvény

Más folyamatokkal ellentétben (mint például az állami rendszerek egy részére előírt biztonsági minősítés), az ISO 27001 nem kötelező: egy tanúsító szabvány, nem általános szabályozási kötelezettség. Ön azért választja, hogy megnyugtassa ügyfeleit, partnereit és biztosítóit.

Forrás: ANSSI (francia hatóság, módszertani lap)

Ki adja ki a tanúsítványt?

Soha nem maga a vállalat, sem egy tanácsadó: csak egy független, akkreditált tanúsító szervezet adhatja ki (a COFRAC az egyetlen francia akkreditációs testület, amelyet 1994-ben hoztak létre). A megszerzett tanúsítvány 3 évig érvényes.

Forrás: COFRAC (francia akkreditációs testület)

A folyamat, 6 lépésben

Előzetes értékelés (opcionális), felkészülés, dokumentumfelülvizsgálat, helyszíni audit annak ellenőrzésére, hogy mi van ténylegesen bevezetve, a tanúsítvány kiadása (3 évre), majd évente egy ellenőrző látogatás, és 3 év után egy teljes megújítási audit. Semmi sincs egyszer és mindenkorra rögzítve.

Forrás: AFNOR Certification (francia tanúsító szervezet)

Valóban megéri?

Egy tanúsított vállalatok körében végzett AFNOR-tanulmány szerint: 89%-uk kevesebb biztonsági incidenst tapasztalt, 83%-uknak szilárdabb belső biztonsági folyamatai vannak, és 88%-uk megtartott olyan ügyfeleket, akik tanúsítás nélkül elmentek volna.

Forrás: AFNOR-tanulmány, 2019 (francia tanúsító szervezet)

Mindenhol elismert, nemcsak Franciaországban

Az ISO saját állítása szerint ez a világ leggyakrabban használt információbiztonsági szabványa. És az akkreditáció, amely a tanúsító szervezeteket ellenőrzi (mint a COFRAC Franciaországban), nemzetközileg elismert országok közötti megállapodások révén, ami megkönnyíti a piacra jutást Európában és máshol.

Forrás: ISO (JTC1/SC27 bizottság)