Az információbiztonság-kezelés, ahogy kell.
Az ISO/IEC 27001:2022 a világ vezető szabványa az információbiztonság-kezelési rendszerekhez. Az Audit41 Readiness segít felmérni hiányosságait a szabvánnyal szemben — és felépíteni azt a bizonyítékalapot, amelyet a tanúsító auditor elvár.
A szabvány
Mi az ISO/IEC 27001:2022?
Az ISO/IEC 27001 a Információbiztonság-kezelési Rendszerek (ISMS) nemzetközi szabványa. A Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) által kiadott szabvány meghatározza, mit kell tartalmaznia és hogyan kell működnie egy ISMS-nek.
A 2022-es verzió — ISO/IEC 27001:2022 — 11 új kontrollt vezetett be, az A. mellékletet négy kontrolltémába szervezte (Szervezeti, Emberi, Fizikai, Technológiai), és explicit követelményeket adott a fenyegetés-felderítéshez, felhőbiztonsághoz és adatmaszkoláshoz. A 2013-as verzió szerint tanúsított szervezeteknek 2025. október 31-ig kellett átállniuk a 2022-es szabványra.
Az ISO 27001 tanúsítást akkreditált tanúsító szervezetek adják ki — nem maga az ISO. A szabvány bármely méretű és szektorú szervezetre alkalmazható. Egyre inkább megköveteli a vállalati ügyfélkör, a kormányzati közbeszerzés és a szabályozott iparágak, mint az információbiztonság szisztematikus kezelésének igazolása.
Kiadó
ISO & IEC (joint standard)
Jelenlegi verzió
ISO/IEC 27001:2022
Átállási határidő a 2013-as verzióról: 2025. október 31.
Hatókör
Bármely szervezet, bármely méretben, bármely szektorban
Nincs minimális méretküszöb
Tanúsítás
Akkreditált tanúsító szervezetek adják ki
Nem közvetlenül az ISO. Formális külső auditot igényel.
93 kontroll négy témában.
Szervezeti kontrollok
37 kontroll
Szabályzatok, szerepkörök, felelősségek, fenyegetés-felderítés, információbiztonság projektekben, ellátási lánc biztonsága és üzletmenet-folytonosság tervezése.
Emberi kontrollok
8 kontroll
Szűrés, foglalkoztatási feltételek, biztonsági tudatosság képzés, fegyelmi folyamat és távmunka.
Fizikai kontrollok
14 kontroll
Fizikai biztonsági kerületek, tiszta asztal és képernyő szabályzatok, berendezéskarbantartás és adathordozók biztonságos megsemmisítése.
Technológiai kontrollok
34 kontroll — köztük 11 új 2022-ben
Hozzáférés-kezelés, kriptográfia, sebezhetőség-kezelés, hálózatbiztonság, biztonságos kódolás, adatmaszkolás, webszűrés és felhőbiztonság (2022-ben új).
Miért fontos
Az ISO 27001 kereskedelmi követelménnyé válik.
A vállalati ügyfelek megkövetelik
A vállalati közbeszerzési folyamatok egyre nagyobb hányada az ISO 27001 tanúsítást előfeltételként követeli meg. Nélküle a pályázatból kizárják, mielőtt az egyeztetés elkezdődne.
A szabályozók hivatkoznak rá
A NIS2 Belgiumban, Szlovéniában és Horvátországban kifejezetten elfogadja az ISO 27001-et megfelelőségi útként. Belgiumban az ISO 27001 tanúsítás megfelelőségi vélelmet ad a NIS2-höz — eltávolítva a különálló NIS2-audit szükségességét.
Igazgatósági szintű elszámoltathatóságot igazol
Az ISO 27001 megköveteli, hogy a vezetőség jóváhagyja és felügyelje az ISMS-t. Ez közvetlenül illeszkedik a NIS2 vezetői felelősségi követelményeihez — a párhuzamos teljesítés hatékonyabb, mint két különálló programként kezelni.
A 2022-es verzió lefedi a modern fenyegetéseket
A felhőbiztonság, adatmaszkolás, fenyegetés-felderítés és biztonságos fejlesztés már explicit követelmények — nem opcionális kiegészítők. A 2022-es verzió a jelenlegi fenyegetési környezetet tükrözi, nem a 2005-ösét.
Csökkenti a kiberfelelősség-biztosítás költségeit
Sok kiberfelelősség-biztosító díjkedvezményt kínál ISO 27001 tanúsított szervezeteknek. A tanúsítás szisztematikus kockázatkezelési megközelítést jelez — pontosan amit a biztosítók látni szeretnének.
Hogyan segít az Audit41
Rés-elemzéstől a tanúsításra kész bizonyítékig.
Rés-elemzés
Ismerje az A. melléklet hiányosságait, mielőtt az auditor megérkezik
Az Audit41 Readiness leképezi jelenlegi kontrollját mind a 93 ISO 27001 A. melléklet kontrollal szemben. Minden hiányosság azonosított, súlyosság szerint osztályozva és az adott kontroll hivatkozáshoz kötve.
Helyreállítási ütemterv
Priorizált cselekvési terv, nem cseklista
A hiányosságok kockázati kitettség és javítási erőfeszítés szerint rangsorolva. Az ütemterv megmondja, mit javítson először — hogy tanúsításra kész legyen a 2. szakaszú audit előtt, ne az utolsó héten.
Bizonyítékstruktúra
Kimenetek a tanúsító testület számára formázva
A hiányosság megállapítási jelentések és vezetői összefoglalók úgy strukturáltak, ahogyan az akkreditált tanúsító szervezetek elvárják látni. Mutasson auditorának védhető, nyomon követhető bizonyítékalapot az első naptól.
Az ISO 27001 és a NIS2 jelentős átfedést mutat.
Ha szervezetének NIS2-megfelelőségre és ISO 27001 tanúsításra is szüksége van, a közös értékelés lényegesen hatékonyabb, mint két külön program futtatása. A hozzáférés-kezelés, incidens-kezelés, ellátási lánc biztonsága, üzletmenet-folytonosság és kriptográfia kontrolljai közvetlenül megfeleltethetők a két keretrendszer között.
Az Audit41 Readiness Programme csomag (legfeljebb 3 projekt) lehetővé teszi a NIS2 és ISO 27001 értékelések futtatását egy előfizetésen belül — így mindkét keretrendszert kezelheti anélkül, hogy két különálló szerződést kellene kezelnie.
Kezdje meg az ISO 27001 hiányosság elemzést.
Mondja el szervezetéről és elküldjük mindazt, amire szüksége van az induláshoz — beleértve a személyre szabott csomag ajánlatot.
Először NIS2 hatályát szeretné ellenőrizni? Az ingyenes önvizsgálat az összes 30 EU+EEK országra vonatkozóan lefedi a NIS2-t. NIS2 önvizsgálat indítása →