+48 261 839 630    centrum@ccj.wat.edu.pl    CCJ na FB

ISO/IEC 27001 (ISMS)

Zakres akredytacji PCA


Aktualności


System zarządzania bezpieczeństwem informacji

Informacja jest jednym z najcenniejszych zasobów każdej organizacji dlatego wdrożenie systemu zarządzania bezpieczeństwem informacji jest nieodzowne aby zachować jej podstawowe atrybuty jakimi są:


  • poufność - właściwość polegająca na tym, że informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
  • dostępność - właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu,
  • integralność - właściwość polegająca na zapewnieniu dokładności i kompletności.


Tylko skuteczny system zarządzania i zastosowanie zabezpieczeń przed nieuprawnionym dostępem, użyciem, modyfikacją lub utratą danych zapewni stabilizację funkcjonowania i rozwój działalności organizacji.
Norma PN-ISO/IEC 27001 (System zarządzania bezpieczeństwem informacji - SZBI, w oryginale ISMS: Information Security Management System) określa ramy systemu zarządzania bezpieczeństwem informacji poprzez zdefiniowanie podstawowych wymagań w zakresie:


  • opracowania i realizacji polityki bezpieczeństwa informacji,
  • prowadzenia przeglądów zarządzania i auditów wewnętrznych,
  • identyfikacji i klasyfikacji informacji,
  • zarządzania ryzykiem,
  • postępowania z incydentami,
  • weryfikacji skuteczności stosowanych zabezpieczeń - Deklaracja Stosowania,
  • opracowania i testowania planów ciągłości działania.


Dla kogo ISMS (SZBI) jest przeznaczony?

System zarządzania bezpieczeństwem informacji adresowany jest do wszystkich organizacji niezależnie od branży, wielkości, rodzaju działalności, czy statusu prawnego. Każda organizacja, która chce zapewnić odpowiedni poziom zabezpieczenia posiadanych informacji i danych powinna wdrożyć oraz poddać ocenie funkcjonujący system zarządzania celem uzyskania certyfikatu na zgodność z wymaganiami normy PN-ISO/IEC 27001.

Szczególnie zainteresowanymi systemem zarządzania bezpieczeństwem informacji powinny być organizacje z branży informatycznej, finansowej, ubezpieczeniowej, medycznej, oświatowej i sektora administracji publicznej.


Dlaczego warto wdrożyć i certyfikować ISMS (SZBI)?

Wdrożenie i certyfikowanie ISMS (SZBI) na bazie sprawdzonego modelu jakim jest norma PN-ISO/IEC 27001 nie tylko zapewnia ciągłość działania ale znacząco wpływa na:


  • pozyskiwanie kontraktów tam gdzie bezpieczeństwo informacji jest priorytetem,
  • zwiększenie wiarygodności i zaufania klientów, których dane są przetwarzane przez organizację,
  • monitorowanie zgodności z obowiązującymi przepisami prawa i zobowiązaniami kontraktowymi,
  • uzyskanie przewagi nad konkurencją, m.in. poprzez integrację ISMS z innymi systemami zarządzania,
  • skuteczną identyfikację zagrożeń i ocenę podatności niezbędną do minimalizacji strat i możliwości realizacji celów biznesowych.


Certyfikacja ISMS (SZBI) w Centrum Certyfikacji Jakości (CCJ)

Centrum Certyfikacji Jakości, od 2006 roku w ramach posiadanej akredytacji Polskiego Centrum Akredytacji (AC 057) certyfikuje systemy zarządzania bezpieczeństwem informacji co potwierdza systematycznie wzrastająca liczba wydanych certyfikatów przez CCJ.


Certyfikacji mogą poddać się wszystkie organizacje zainteresowane potwierdzeniem przez niezależną stronę trzecią - CCJ, że system ISMS(SZBI) został właściwie zaprojektowany, jest wdrożony i ciągle doskonalony.

Uzyskanie certyfikatu stanowi potwierdzenie, że system ISMS(SZBI) został sprawdzony i jest zgodny ze standardem stanowiącym zbiór najlepszych praktyk w tym zakresie.

W celu uruchomienia procesu certyfikacji na zgodność z normą PN-ISO/IEC 27001 należy dostarczyć do CCJ następujące dokumenty:


  • wniosek o certyfikację,
  • podpisaną umowę,
  • dokumentację ISMS (SZBI) (deklarację stosowania, politykę bezpieczeństwa i niezbędne procedury) lub zintegrowanego systemu zarządzania.


Klienci zainteresowani certyfikacją systemów zarządzania w CCJ mają możliwość otrzymania oferty cenowej po uprzednim wypełnieniu zapytania ofertowego, pobranego ze strony www.ccj.wat.edu.pl.


Po złożeniu wniosku o certyfikację z kompletem dokumentacji przygotowywana jest lub potwierdzana oferta opracowana na podstawie kompletnej informacji o funkcjonującym systemie zarządzania bezpieczeństwem informacji.


Podstawowe informacje o formalnych wymaganiach i etapach realizacji procesu certyfikacji dostępne są na stronie internetowej, w zakładce informacje ogólne, w dokumencie "Zasady certyfikacji - Informator dla klienta" oraz na życzenie Klienta w formie papierowej.

Zasady ustalania czasu trwania auditu oraz opłat w procesie certyfikacji, nadzoru i ponownej certyfikacji systemu zarządzania jakością wg PN-ISO/IEC 27001 obowiązujące w CCJ.


Podstawowe zasady ustalania opłat za certyfikację:

Cena netto usługi certyfikacyjnej realizowanej przez CCJ wyliczana jest wg poniższego wzoru:


A = B + (C x D) + E

gdzie:


  • A - cena netto,
  • B - opłata stała, określona w aktualnym cenniku CCJ,
  • C - czas trwania auditu,
  • D - stawka stała za jeden dzień auditu, określona w aktualnym cenniku CCJ,
  • E - koszty zakwaterowania, podróży i wyżywienia auditorów.


Podstawą wykorzystywaną do określania wysokości opłat (stałej oraz za audit) jest efektywna liczba personelu.


Opłata stała pobierana jest przed auditem certyfikacyjnym oraz co roku w trakcie ważności certyfikacji, tj.: dwa miesiące przed planowanym auditem w nadzorze oraz sześć miesięcy przed planowanym auditem ponownej certyfikacji.


Zasady ustalania czasu auditu

Do określenia czasu auditu przyjmuje się czas poświęcony na:


  • planowanie auditu,
  • przegląd dokumentacji,
  • komunikowanie się z personelem Klienta,
  • przeprowadzenie auditu w obiektach Klienta (auditu na miejscu - nie krócej jak 80% ustalonego czasu trwania auditu) w ramach 8 godzin pracy, w tym planowane przerwy,
  • opracowanie raportu.


Czas trwania auditu certyfikującego może obejmować techniki auditowania zdalnego (jeżeli jest to możliwe) max do 30% czasu trwania auditu na miejscu.

Podstawą do określenia czasu auditu dla systemu ISMS (SZBI) jest efektywna liczba.

Efektywna liczba personelu jest obliczana z uwzględnieniem następujących czynników:


  • liczba personelu zaangażowanego w ramach zakresu certyfikacji,
  • pracownicy ujęci częściowo w zakresie certyfikacji,
  • forma zatrudnienia: pełny etat, na część etatu, personel niepracujący na stałe (sezonowo, tymczasowo, na umowę o dzieło lub zlecenie),
  • praca w systemie zmianowym.


Przy wyznaczaniu czasu trwania auditu przyjmuje się, że czas auditu w nadzorze (N) wynosi 1/3 auditu certyfikującego (C), auditu ponownej certyfikacji (PC) wynosi 2/3 auditu C (poniższa tabela).

L.p. Efektywna liczba personelu Ocena systemu zarządzania
(auditodni)
1 1-10 5
2 11-25 7
3 26-45 8,5
4 46-65 10
5 66-85 11
6 86-125 12
7 126-175 13
8 176-275 14
9 276-425 15
10 426-625 16,5
11 625-875 17,5
12 876-1175 18,5
13 1176-1550 19,5
14 1551-2025 21
15 2026-2675 22
16 2676-3450 23
17 3451-4350 24
18 4351-5450 25
19 5451-6800 26
20 6801-8500 27
21 8501-10700 28
22 > 10700 Do indywidualnych ustaleń


W czasie nadzoru nad certyfikacją dokonuje się przeglądu czasu trwania planowanych auditów w nadzorze i dla ponownej certyfikacji pod względem jego aktualności.


W czasie auditu certyfikującego zawsze przeprowadza się audit I etapu. Czas trwania auditu I etapu wynosi 20% czasu trwania auditu na miejscu. CCJ praktycznie planuje od.0,5 do 2 auditodnia w zależności od wielkości efektywnej liczby personelu.


Czas trwania auditu określa się zakładając, że zmiana liczby personelu jest wartością ciągłą, a nie skokową.


Przy wyznaczaniu liczby auditodni uwzględniamy:

  • czynniki związane z wielkością zakresu ISMS (SZBI) (np. liczba używanych systemów informacyjnych, objętość przetwarzanej informacji, liczba użytkowników, liczba użytkowników uprzywilejowanych, liczba platform informatycznych, liczba sieci i ich wielkość),
  • czynniki związane ze złożonością ISMS (SZBI) (np. krytyczność systemów informatycznych, sytuacje ryzykowne w ISMS (SZBI), wielkość i typ wrażliwych i krytycznych informacji utrzymywanych i przetwarzanych, liczba i typy elektronicznych transakcji, liczba i wielkość rozwijanych projektów, stopień stosowania pracy zdalnej, rozmiar dokumentacji ISMS (SZBI),
  • typu biznesu prowadzonego w zakresie ISMS (SZBI) i wymagania bezpieczeństwa, prawa, regulacji oraz wymagania kontraktowe i biznesowe związane z tym typem biznesu,
  • rozległości i zróżnicowania techniki stosowanej we wdrożeniu różnych składowych ISMS (SZBI) (np. zabezpieczenia, dokumentacja i/lub nadzór nad procesem, działania korygujące/zapobiegawcze, systemy informacyjne, systemy informatyczne, sieci: stacjonarne, mobilne, bezprzewodowe, zewnętrzne, wewnętrzne),
  • liczby lokalizacji objętych zakresem ISMS (SZBI), jak podobne lub zróżnicowane są te lokalizacje lub tylko próbki będą auditowane,
  • wcześniej przedstawione działanie ISMS (SZBI),
  • zakres podzlecania i umów ze stroną trzecią wykorzystanych w zakresie SZBI/ISMS oraz zależność od tych usług,
  • liczba ośrodków odtwarzania po katastrofie (DR),
  • normy, przepisy prawne i regulacje mające zastosowanie do certyfikacji i wszelkie specyficzne wymagania sektorowe, które mają zastosowanie.


Zasady ustalania czasu trwania auditu dla organizacji wielooddziałowej (w tym oddziały tymczasowe)

Organizacja wielooddziałowa rozumiana jest jako organizacja posiadająca zidentyfikowaną siedzibę centralną (nazywaną dalej centralą - lecz niekoniecznie spełniającą rolę głównego zarządu w organizacji), w której są planowane, nadzorowane lub zarządzane określone działania, oraz sieć biur lokalnych lub filii (oddziałów), w których działania te są wykonywane w całości lub częściowo.


Organizacja wielodziałowa może być jedną osobą prawną lub nie, przykłady organizacji wielooddziałowych, to:


  • organizacja posiadająca różne lokalizacje stałe lub tymczasowe,
  • organizacje działające na zasadzie franczyzy,
  • przedsiębiorstwo produkcyjne, które ma sieć biur sprzedaży,
  • przedsiębiorstwo usługowe mające wiele oddziałów świadczące podobne usługi,
  • przedsiębiorstwo prowadzące działalność w wielu filiach.


Oddział tymczasowy rozumiany jest jako oddział, który został ustanowiony przez organizację w celu wykonywania określonej pracy lub usługi w pewnym okresie czasu, a który nie będzie oddziałem stałym (np. plac budowy).

CCJ stosuje próbkowanie dla organizacji wielooddziałowej/wieloma lokalizacjami z zachowaniem następujących zasad:


  • centrala oraz wszystkie oddziały objęte są jednym systemem zarządzania, który jest centralnie administrowany i auditowany,
  • centralny przegląd zarządzania obejmuje centralę i wszystkie lokalizacje,
  • audity wewnętrzne prowadzone są we wszystkich oddziałach według spójnego programu, inicjowane są wspólne zmiany w systemie zarządzania i dokumentacji systemowej w ramach doskonalenia, rozpatrywania skarg, itp.,
  • wszystkie oddziały muszą mieć prawne lub kontraktowe powiązanie z centralą, które określają jej uprawnienia,
  • w oddziałach realizowane są tego samego rodzaju procesy, podobnymi metodami i według podobnych procedur i systemów informacyjnych,
  • próbkowanie musi zapewnić możliwość oceny przebiegu procesów funkcjonujących w organizacji wielooddziałowej, na zasadzie jednego przykładu,
  • jeżeli w jednym oddziale stwierdzona jest niezgodność to w pozostałych oddziałach powinna być przeanalizowana taka sama sytuacja i również podjęte działania korygujące. Możliwe jest zwiększenie próbkowania w tych obszarach do czasu upewnienia się, że sytuacja się ustabilizowała,
  • jeżeli została stwierdzona niezgodność z wymaganiami normy w jednym oddziale to dotyczy to całej organizacji wielodziałowej i nie można wydać certyfikatu dla całości; nie można po fakcie zapisania niezgodności wyłączać oddziału, w którym tą niezgodność stwierdzono.


Przykładowa minimalna liczba auditowanych oddziałów może wynosić:

  • audit certyfikacyjny - liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji

    obrazek


    gdzie:
    y - liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit,
    x - ogólna liczba oddziałów/lokalizacji auditowanych.

  • audit w nadzorze - liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.6 tj.

    obrazek

  • audit ponownej certyfikacji - liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.8 tj.

    obrazek

Czas w każdym oddziale/lokalizacji oblicza się oddzielnie tak, jak dla organizacji jednooddziałowej. Zależnie od zakresu oceny prowadzonej w danym oddziale/lokalizacji, możliwe jest skrócenie, lub wydłużenie czasu trwania auditu. Przyjmuje się zasadę, że wyliczona w ten sposób suma czasu trwania auditów w cyklu 3-letnim w organizacji wielooddziałowej nie może być krótsza od analogicznej sumy wyliczonej jak dla organizacji jednooddziałowej wykonującej ten sam zakres czynności przy uwzględnieniu całkowitego stanu zatrudnionych zaangażowanych w realizację zakresu certyfikacji we wszystkich oddziałach.
W całym procesie certyfikacji i nadzoru CCJ ocenia wszystkie oddziały/lokalizacje organizacji z uwzględnieniem powyższej metodologii. W procesie certyfikacji, nadzoru i ponownej certyfikacji centrala organizacji wielooddziałowej/zlokalizowanej w wielu miejscach zawsze jest poddawana ocenie.


Zasady ustalania liczby auditodni dla organizacji wnioskującej o certyfikację zintegrowanych systemów zarządzania lub organizowania auditu połączonego.

CCJ dla organizacji, które certyfikują system ISMS (SZBI) zintegrowany z, np.: QMS, BHP, FSMS, EMS, AQAP, stosuje następującą zasadę:


  • podstawą do wyliczania liczby auditodni jest efektywna liczba personelu,
  • część wspólna dla zintegrowanego systemu wynosi nie więcej niż 20%.


Ponadto w określaniu ostatecznej liczby auditodni uwzględnia się:


  • rodzaj systemu zintegrowanego,
  • kompetencje zespołu auditującego,
  • stopień udokumentowania (zintegrowania) systemu,
  • występujące zagrożenia,
  • redukcja lub zwiększanie czasu trwania auditu,
  • zniżki lub zwyżki wynikające z poniżej przedstawionych przypadków.


W ramach określania czasu trwania auditu mają zastosowanie zniżki lub zwyżki w przypadkach określonych poniżej.

Zniżki mogą dotyczyć organizacji:


  • którą CCJ wcześniej już certyfikował,
  • procesy obejmują tylko jedną działalność,
  • które nie są odpowiedzialne za projektowanie lub inne elementy normy,
  • w których brak jest lub jest niskie ryzyko związane z wyrobem/procesem technologicznym,
  • posiadających dojrzały system zarządzania lub posiadających doświadczenie w innych systemach zarządzania, uznany przez inną akredytowaną jednostkę certyfikującą (trzecią stronę),
  • które działają na bardzo małym terenie w odniesieniu do liczby pracowników (np. tylko kompleks biurowy),
  • w których realizowany jest audit połączony (w przypadkach równoczesnej współpracy z innymi jednostkami certyfikującymi),
  • które prowadzą działania o niskiej złożoności, np.:
    • działania związane z jedną główną działalnością (np. tylko usługi),
    • w których wysoki procent zatrudnionych wykonuje te same proste zadania,
    • identyczne działania na zmianach,
    • proste funkcje w realizowanych procesach,
    • znaczna część personelu pracuje poza lokalizacją, np.: handlowcy, kierowcy, serwisanci i możliwe jest auditowanie w formie przeglądu zapisów.


Suma zniżek nie powinna przekraczać 30 %.

Zwyżki mogą dotyczyć organizacji:


  • które mają skomplikowaną logistykę obejmującą więcej niż jeden budynek lub lokalizację w zakresie SZBI,
  • wielodziałowych, w których wymagane jest wizytowanie ich stałych lub tymczasowych oddziałów (objętych certyfikacją systemu SZBI/ISMS) i występuje znaczne zróżnicowanie wielkości oddziałów, praktyk pracy w prowadzonych działaniach i celów biznesowych,
  • w których personel posługuje się kilkoma językami (co powoduje konieczność korzystania z tłumacza/tłumaczy lub wyklucza możliwość pracy poszczególnych auditorów niezależnie od siebie),
  • ze względu na wyniki auditów wewnętrznych i zidentyfikowane niezgodności,
  • w których występują potencjalne wzajemne oddziaływania z krytycznymi systemami informacyjnymi lub systemami przetwarzającymi informacje wrażliwe,
  • które mają dużą liczbę przepisów regulujących działalność (żywność, medycyna, energetyka jądrowa itp.) i/lub zróżnicowanie w wymaganiach prawnych w oddziałach,
  • w których systemy obejmują bardzo skomplikowane procesy lub stosunkowo dużą liczbę unikalnych działalności.


Suma wszystkich zniżek opisanych w niniejszych zasadach nie może przekraczać 30 % czasu określonego w pierwszej tabeli.