ISO/IEC 27001:2022 — przygotowanie do wdrożenia i audytu
ISO/IEC 27001:2022 wymaga spójnego systemu zarządzania bezpieczeństwem informacji, analizy ryzyka, deklaracji stosowania, dowodów działania oraz ciągłego doskonalenia.
Zakres SZBI, dokumentacja, rejestry i dowody działania.
Analiza ryzyka i deklaracja stosowania zabezpieczeń.
Przygotowanie do wdrożenia i przeglądu gotowości.
Zakres przygotowania do ISO 27001
- określenie zakresu SZBI,
- identyfikacja procesów, aktywów i stron zainteresowanych,
- analiza ryzyka bezpieczeństwa informacji,
- dobór zabezpieczeń i przygotowanie deklaracji stosowania,
- opracowanie dokumentacji i rejestrów,
- przygotowanie dowodów działania systemu,
- przegląd gotowości do audytu.
Analiza ryzyka i SoA
Analiza ryzyka powinna wskazywać, jakie zagrożenia dotyczą organizacji oraz jakie zabezpieczenia są adekwatne. Deklaracja stosowania powinna wynikać z analizy ryzyka, wymagań organizacji i decyzji dotyczących zabezpieczeń.
Dokumentacja i dowody
Podczas audytu ważne są nie tylko dokumenty, lecz także dowody ich stosowania. Organizacja powinna posiadać zapisy z przeglądów, działań korygujących, szkoleń, oceny dostawców, analizy ryzyka i decyzji zarządczych.
Zasady bezpieczeństwa informacji i odpowiedzialności.
Aktywa, ryzyka, incydenty, dostawcy i działania.
Protokoły, przeglądy, szkolenia, decyzje i zapisy.
Działania korygujące i przeglądy skuteczności.
Przegląd gotowości
Przed audytem certyfikującym warto wykonać niezależny przegląd gotowości. Pozwala on wykryć braki, uporządkować dowody oraz ograniczyć ryzyko niezgodności podczas audytu.
Przygotuj organizację do ISO 27001
Wiadomość może dotyczyć pełnego wdrożenia, przeglądu gotowości albo uporządkowania wybranych elementów SZBI.