ISO 27001 konsultavimas

ISO 27001 sertifikavimas atveria įmonių pirkimus, tenkina NIS2 tiekimo grandinės įpareigojimus ir suteikia pačius stipriausius BDAR 32 straipsnio atitikties įrodymus. Pasiruošimas trunka 4–9 mėnesius ISMS projektavimo, politikų kūrimo, rizikos registro darbo ir įrodymų rinkimo. Mes tai padarome visą — fiksuota kaina, su visu audito parengtumu kiekviename etape.

ISO 27001 padarytas vieną kartą, padarytas teisingai

ISO 27001 projektus apimame pilnam pasiruošimo ciklui: ISMS apimties nustatymas, rizikos vertinimas, A priedo A kontrolių pasirinkimas, politikų kūrimas, techninių kontrolių įgyvendinimas, įrodymų rinkimas, vidinis auditas ir 1 etapo bei 2 etapo auditoriaus koordinavimas. Sertifikavimas yra pristatymas, o kiekvienas žingsnis tarp paleidimo ir sertifikato yra įtrauktas į projekto apimtį.

ISO 27001 konsultavimas natūraliai integruojasi su mūsų frakcinio CISO mėnesiniu mokesčiu: vCISO valdo ISMS nuolat po sertifikato išdavimo, tvarko stebėjimo auditus ir palaiko rizikos registrą. Dauguma klientų sujungia ISO 27001 konsultavimą, mūsų skverbimosi testų paslaugą (reikalaujamą A priedo A kontrolės 8.8) ir vCISO mėnesinį mokestį į vieną integruotą saugumo programą.

Nuo trūkumų analizės iki sertifikuoto ISMS

ISMS projektavimas

Informacijos saugumo valdymo sistemos apimties nustatymas, organizacijos kontekstas (4 išlyga), vadovavimo reikalavimai (5 išlyga) ir planavimo struktūra (6 išlyga) — suprojektuoti pagal jūsų verslo dydį, pramonę ir sertifikavimo organo reikalavimus. ISMS riba apibrėžta taip, kad apimtų tai, ką auditoriai tikrins, ir nieką nereikalingo.

Rizikos registras ir tvarkymas

ISO 27001 6.1 išlygos rizikos vertinimas: informacijos turto nustatymas, grėsmių ir pažeidžiamumų analizė, tikimybės ir poveikio vertinimas ir tvarkybos plano pasirinkimas (sumažinti, priimti, perduoti, vengti). Taikytinumo pareiškimas (SoA), parengtas pagal ISO 27001:2022 A priedo A. Rizikos registras palaikomas kaip gyvas dokumentas viso projekto metu.

Politikų dokumentavimas

Pilnas politikų rinkinys, parašytas pagal jūsų verslą: informacijos saugumo politika, leistinas naudojimas, prieigos valdymas, incidentų reagavimas, tiekėjų valdymas, pakeitimų valdymas, verslo tęstinumas, nelaimių atkūrimas ir turto valdymas. Parašyta paprasta kalba, peržiūrėta jūsų komandos, patvirtinta atitinkamu lygiu ir palaikoma pagal dokumentuotą ritmą.

Sertifikavimo audito palaikymas

Koordinuojame auditą su jūsų pasirinktu sertifikavimo organu: 1 etapo dokumentų peržiūra ir 2 etapo vietinis arba nuotolinis auditas. Ruošiame jūsų komandą auditoriaus pokalbiams, valdome įrodymų kambarį, atsakome į išvadas audito laikotarpiu ir sekame bet kokių neatitikimų šalinimą iki uždarymo.

ISO 27001 konsultavimas — dažniausiai užduodami klausimai

Kiek laiko trunka ISO 27001 sertifikavimas?

Nuo paleidimo iki sertifikavimo sprendimo ISO 27001 paprastai trunka 4–9 mėnesius. Įmonės be ankstesnių saugumo kontrolių ar dokumentacijos trunka ilgiau; organizacijos su esamomis saugumo praktikomis ir šiokia tokia dokumentacija gali judėti greičiau. Pagrindiniai etapai: trūkumų analizė ir ISMS apimties nustatymas (2–4 savaitės), politikų ir rizikos registro kūrimas (6–12 savaičių), techninių kontrolių įgyvendinimas (lygiagrečiai, 4–12 savaičių), įrodymų rinkimas ir vidinis auditas (4–6 savaitės), 1 etapo auditas (2–4 savaitės) ir 2 etapo auditas (2–4 savaitės). Mūsų trūkumų analizė per pirmą savaitę pateikia tikslų projekto grafiką prieš prasidedant pagrindiniam projektui.

ISO 27001 prieš SOC 2 — kurio man reikia?

ISO 27001 yra labiau paplitęs Europos įmonių pirkimuose ir vis dažniau reikalaujamas pagal NIS2 tiekimo grandinės įpareigojimus. SOC 2 yra standartas JAV įmonių pirkėjams ir SaaS įmonėms, parduodančioms JAV rinkoje. Jei parduodate abiejose rinkose arba jūsų pirkėjai yra dideli tarptautiniai koncernai, gali prireikti abiejų. Nustatome kombinuotus ISO 27001 ir SOC 2 projektus su bendra įrodymų baze — maždaug 70% A priedo A kontrolių atitinka SOC 2 patikimumo paslaugų kriterijus, todėl dvigubas sertifikavimas kainuoja 20–35% pigiau nei dvi atskiros programos.

Kiek kainuoja ISO 27001 konsultavimas?

Mūsų fiksuotos kainos ISO 27001 konsultavimo projektas prasideda nuo €12,000 aiškiai apibrėžtai ISMS apimčiai 20–100 žmonių įmonėje. Didesnės organizacijos, platesnės ISMS apimtys arba kombinuotos ISO 27001 ir SOC 2 programos nustatomos individualiai. Projektas apima trūkumų analizę, ISMS projektavimą, rizikos registrą, politikų kūrimą, techninių kontrolių įgyvendinimą, įrodymų rinkimą, vidinį auditą ir 1 etapo ir 2 etapo auditoriaus koordinavimą. Sertifikavimo organo audito mokestis yra atskiras (paprastai €5,000–€15,000, priklausomai nuo auditoriaus ir organizacijos dydžio).

Ar reikia ISO 27001 BDAR atitikčiai?

ISO 27001 nereikalaujamas pagal BDAR, tačiau iš esmės palaiko BDAR 32 straipsnio atitiktį — kuri reikalauja “tinkamų techninių ir organizacinių priemonių” asmens duomenims apsaugoti. ISO 27001 ISMS yra pačios gynybingiausiai pagrindžiami įrodymai, kad tokios priemonės yra sisteminės, dokumentuotos ir peržiūrimos. Daugelis priežiūros institucijų ir DPA laiko ISO 27001 sertifikavimą kaip stiprius BDAR saugumo atitikties įrodymus. Jei apdorojate didelius ES asmens duomenų kiekius arba veikiate reguliuojamame sektoriuje, ISO 27001 verta siekti vien dėl reguliavimo rizikos valdymo — nepriklausomai nuo bet kokio įmonių pirkėjų reikalavimo.

ISO 27001 sertifikavimas be konsultacinės įmonės antkainio

Papasakokite apie savo ISMS apimtį, sertifikavimo grafiką ir kokius įrodymus jau turite — grįšime su fiksuotos kainos pasiūlymu.

Susisiekti →    ISO 27001 ir SOC 2 →
AGENTŲ POKALBIS
Sistema: Saugi jungtis užmegzta. Laukiama įvesties...