ISO/IEC 27001 (ISMS)
Aktualności
Warunki certyfikacji w CCJ na zgodność z ISO/IEC 27001:2022 (ISMS)
Zgodnie z Komunikatem nr 384 z dnia 02.12.2022 oraz 397 z dnia 20.03.2023 r. Polskiego Centrum Akredytacji (PCA) w sprawie akredytacji jednostek certyfikujących systemy zarządzania
System zarządzania bezpieczeństwem informacji ISO/IEC 27001
Informacja jest jednym z najcenniejszych zasobów każdej organizacji dlatego wdrożenie systemu zarządzania bezpieczeństwem informacji jest nieodzowne aby zachować jej podstawowe atrybuty jakimi są:
- poufność – właściwość polegająca na tym, że informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
- dostępność – właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu,
- integralność – właściwość polegająca na zapewnieniu dokładności i kompletności.
Tylko skuteczny system zarządzania i zastosowanie zabezpieczeń przed nieuprawnionym dostępem, użyciem, modyfikacją lub utratą danych zapewni stabilizację funkcjonowania i rozwój działalności organizacji.
Norma ISO/IEC 27001 (System zarządzania bezpieczeństwem informacji – SZBI, w oryginale ISMS: Information Security Management System) określa ramy systemu zarządzania bezpieczeństwem informacji poprzez zdefiniowanie podstawowych wymagań w zakresie:
- opracowania i realizacji polityki bezpieczeństwa informacji,
- prowadzenia przeglądów zarządzania i auditów wewnętrznych,
- identyfikacji i klasyfikacji informacji,
- zarządzania ryzykiem,
- postępowania z incydentami,
- weryfikacji skuteczności stosowanych zabezpieczeń – Deklaracja Stosowania,
- opracowania i testowania planów ciągłości działania.
Dla kogo ISMS (SZBI) jest przeznaczony?
System zarządzania bezpieczeństwem informacji adresowany jest do wszystkich organizacji niezależnie od branży, wielkości, rodzaju działalności, czy statusu prawnego. Każda organizacja, która chce zapewnić odpowiedni poziom zabezpieczenia posiadanych informacji i danych powinna wdrożyć oraz poddać ocenie funkcjonujący system zarządzania celem uzyskania certyfikatu na zgodność z wymaganiami normy ISO/IEC 27001.
Szczególnie zainteresowanymi systemem zarządzania bezpieczeństwem informacji powinny być organizacje z branży informatycznej, finansowej, ubezpieczeniowej, medycznej, oświatowej i sektora administracji publicznej.
Dlaczego warto wdrożyć i certyfikować ISMS (SZBI)?
Wdrożenie i certyfikowanie ISMS (SZBI) na bazie sprawdzonego modelu jakim jest norma ISO/IEC 27001 nie tylko zapewnia ciągłość działania ale znacząco wpływa na:
- pozyskiwanie kontraktów tam gdzie bezpieczeństwo informacji jest priorytetem,
- zwiększenie wiarygodności i zaufania klientów, których dane są przetwarzane przez organizację,
- monitorowanie zgodności z obowiązującymi przepisami prawa i zobowiązaniami kontraktowymi,
- uzyskanie przewagi nad konkurencją, m.in. poprzez integrację ISMS z innymi systemami zarządzania,
- skuteczną identyfikację zagrożeń i ocenę podatności niezbędną do minimalizacji strat i możliwości realizacji celów biznesowych.
Certyfikacja ISMS (SZBI) w Centrum Certyfikacji Jakości (CCJ)
Centrum Certyfikacji Jakości od 2006 roku w ramach posiadanej akredytacji Polskiego Centrum Akredytacji (AC 057) certyfikuje systemy zarządzania bezpieczeństwem informacji co potwierdza systematycznie wzrastająca liczba wydanych certyfikatów przez CCJ.
Certyfikacji mogą poddać się wszystkie organizacje zainteresowane potwierdzeniem przez niezależną stronę trzecią – CCJ, że system ISMS(SZBI) został właściwie zaprojektowany, jest wdrożony i ciągle doskonalony.
Uzyskanie certyfikatu stanowi potwierdzenie, że system ISMS(SZBI) został sprawdzony i jest zgodny ze standardem stanowiącym zbiór najlepszych praktyk w tym zakresie.
W celu uruchomienia procesu certyfikacji na zgodność z normą ISO/IEC 27001 należy dostarczyć do CCJ następujące dokumenty:
- wniosek o certyfikację,
- podpisaną umowę,
- dokumentację ISMS (SZBI) (deklarację stosowania, politykę bezpieczeństwa i niezbędne procedury) lub zintegrowanego systemu zarządzania.
Klienci zainteresowani certyfikacją systemów zarządzania w CCJ mają możliwość otrzymania oferty cenowej po uprzednim wypełnieniu zapytania ofertowego, pobranego z „dokumentacja do pobrania” u góry strony.
Po złożeniu wniosku o certyfikację z kompletem dokumentacji przygotowywana jest lub potwierdzana oferta opracowana na podstawie kompletnej informacji o funkcjonującym systemie zarządzania bezpieczeństwem informacji.
Podstawowe informacje o formalnych wymaganiach i etapach realizacji procesu certyfikacji dostępne są na stronie internetowej, w zakładce informacje ogólne, w dokumencie „Zasady certyfikacji – Informator dla klienta” oraz na życzenie Klienta w formie papierowej.
Zasady ustalania czasu trwania auditu oraz opłat w procesie certyfikacji, nadzoru i ponownej certyfikacji systemu zarządzania jakością wg ISO/IEC 27001 obowiązujące w CCJ
Podstawowe zasady ustalania opłat za certyfikację
Cena netto usługi certyfikacyjnej realizowanej przez CCJ wyliczana jest wg poniższego wzoru:
A = B + (C x D) + E
gdzie:
A – cena netto,
B – opłata stała, określona w aktualnym cenniku CCJ,
C – czas trwania auditu,
D – stawka stała za jeden dzień auditu, określona w aktualnym cenniku CCJ,
E – koszty zakwaterowania, podróży i wyżywienia auditorów.
Podstawą wykorzystywaną do określania wysokości opłat (stałej oraz za audit) jest liczba personelu (liczba osób pracujących pod kontrola organizacji).
Opłata stała pobierana jest przed auditem certyfikacyjnym oraz co roku w trakcie ważności certyfikacji, tj.: dwa miesiące przed planowanym auditem w nadzorze oraz sześć miesięcy przed planowanym auditem ponownej certyfikacji.
Zasady ustalania czasu auditu
Do określenia czasu auditu przyjmuje się czas poświęcony na:
- planowanie auditu,
- przegląd dokumentacji,
- komunikowanie się z personelem Klienta,
- przeprowadzenie auditu w obiektach Klienta (auditu na miejscu – nie krócej jak 70% ustalonego czasu trwania auditu) w ramach 8 godzin pracy, w tym planowane przerwy,
- opracowanie raportu.
Czas trwania auditu certyfikującego może obejmować techniki auditowania zdalnego (jeżeli jest to możliwe) max do 30% czasu trwania auditu na miejscu.
Podstawą do określenia czasu auditu dla systemu ISMS (SZBI) jest efektywna liczba personelu, tj. ogólna liczba osób pracujących pod kontrolą organizacji na wszystkich zmianach.
Liczba personelu jest obliczana z uwzględnieniem następujących czynników:
- liczba personelu zaangażowanego w ramach zakresu certyfikacji,
- pracownicy ujęci częściowo w zakresie certyfikacji,
- forma zatrudnienia: pełny etat, na część etatu, personel niepracujący na stałe (sezonowo, tymczasowo, na umowę o dzieło lub zlecenie),
- praca w systemie zmianowym.
Liczba personelu zatrudnionego na część etatu i pracowników ujętych częściowo w zakresie certyfikacji przeliczna jest na liczbę personelu pełnoetatowego, w zależności od liczby godzin pracy.
W przypadku, gdy znaczna część personelu realizuje działania lub funkcje o powtarzalnym charakterze (np. personel sprzątający, pracownicy ochrony i transportu, handlowcy, konsultanci telefoniczni, pracownicy linii produkcyjnej itd.), dozwolone jest zmniejszenie liczby personelu, w zależności od branży, w której działa certyfikowana organizacja.
Gdy organizacja zatrudnia personel pracujący w systemie zmianowym, czas trwania i harmonogram auditu ustalany jest w sposób pozwalający na przeprowadzenie oceny skutecznego wdrożenia systemu zarządzania, z uwzględnieniem potrzeby auditowania pracy na poszczególnych zmianach. W przypadku, gdy procesy realizowane na poszczególnych zmianach są takie same oraz organizacja wykazała skuteczny nadzór na każdej zmianie, możliwe jest odstąpienie od auditowania II i/lub III zmiany.
W przypadku, gdy organizacja zatrudnia znaczną liczbę tymczasowego personelu niewykwalifikowanego zastępującego zautomatyzowane procesy, możliwe jest zmniejszenie efektywnej liczby personelu.
Przy wyznaczaniu czasu trwania auditu przyjmuje się, że czas auditu w nadzorze (N) wynosi 1/3 auditu certyfikującego (C), auditu ponownej certyfikacji (PC) wynosi 2/3 auditu C (poniższa tabela).
Liczba personelu (liczba osób pracujących pod kontrola organizacji) | Ocena systemu zarządzania (auditodni) |
---|---|
1-10 | 5 |
11-25 | 7 |
26-45 | 8.5 |
46-65 | 10 |
66-85 | 11 |
86-125 | 12 |
126-175 | 13 |
176-275 | 14 |
276-425 | 15 |
426-625 | 16.5 |
625-875 | 17.5 |
876-1175 | 18.5 |
1176-1550 | 19.5 |
1551-2025 | 21 |
2026-2675 | 22 |
2676-3450 | 23 |
3451-4350 | 24 |
4351-5450 | 25 |
5451-6800 | 26 |
6801-8500 | 27 |
8501-10700 | 28 |
> 10700 | Do indywidualnych ustaleń |
W czasie nadzoru nad certyfikacją dokonuje się przeglądu czasu trwania planowanych auditów w nadzorze i dla ponownej certyfikacji pod względem jego aktualności.
W czasie auditu certyfikującego przeprowadza się audit I etapu. CCJ praktycznie planuje od 0,5 do 2 auditodni, w zależności od liczby personelu (liczby osób pracujących pod kontrola organizacji) oraz liczby certyfikowanych systemów. Czas trwania auditu I etapu nie może być dłuższy niż 50% czasu trwania auditu na miejscu.
Przy wyznaczaniu liczby auditodni uwzględniamy:
- czynniki związane z wielkością zakresu ISMS (SZBI) (np. liczba używanych systemów informacyjnych, objętość przetwarzanej informacji, liczba użytkowników, liczba użytkowników uprzywilejowanych, liczba platform informatycznych, liczba sieci i ich wielkość),
- czynniki związane ze złożonością ISMS (SZBI) (np. krytyczność systemów informatycznych, sytuacje ryzykowne w ISMS (SZBI), wielkość i typ wrażliwych i krytycznych informacji utrzymywanych i przetwarzanych, liczba i typy elektronicznych transakcji, liczba i wielkość rozwijanych projektów, stopień stosowania pracy zdalnej, rozmiar dokumentacji ISMS (SZBI),
- typu biznesu prowadzonego w zakresie ISMS (SZBI) i wymagania bezpieczeństwa, prawa, regulacji oraz wymagania kontraktowe i biznesowe związane z tym typem biznesu,
- rozległości i zróżnicowania techniki stosowanej we wdrożeniu różnych składowych ISMS (SZBI) (np. zabezpieczenia, dokumentacja i/lub nadzór nad procesem, działania korygujące/zapobiegawcze, systemy informacyjne, systemy informatyczne, sieci: stacjonarne, mobilne, bezprzewodowe, zewnętrzne, wewnętrzne),
- liczby lokalizacji objętych zakresem ISMS (SZBI), jak podobne lub zróżnicowane są te lokalizacje lub tylko próbki będą auditowane,
- wcześniej przedstawione działanie ISMS (SZBI),
- zakres podzlecania i umów ze stroną trzecią wykorzystanych w zakresie SZBI/ISMS oraz zależność od tych usług,
- liczba ośrodków odtwarzania po katastrofie (DR),
- normy, przepisy prawne i regulacje mające zastosowanie do certyfikacji i wszelkie specyficzne wymagania sektorowe, które mają zastosowanie.
Zasady ustalania czasu trwania auditu dla organizacji wielooddziałowej (w tym oddziały tymczasowe)
Organizacja wielooddziałowa rozumiana jest jako organizacja posiadająca zidentyfikowaną siedzibę centralną (nazywaną dalej centralą – lecz niekoniecznie spełniającą rolę głównego zarządu w organizacji), w której są planowane, nadzorowane lub zarządzane określone działania, oraz sieć biur lokalnych lub filii (oddziałów), w których działania te są wykonywane w całości lub częściowo.
Organizacja wielodziałowa może być jedną osobą prawną lub nie, przykłady organizacji wielooddziałowych, to:
- organizacja posiadająca różne lokalizacje stałe lub tymczasowe,
- organizacje działające na zasadzie franczyzy,
- przedsiębiorstwo produkcyjne, które ma sieć biur sprzedaży,
- przedsiębiorstwo usługowe mające wiele oddziałów świadczące podobne usługi,
- przedsiębiorstwo prowadzące działalność w wielu filiach.
Oddział tymczasowy rozumiany jest jako oddział, który został ustanowiony przez organizację w celu wykonywania określonej pracy lub usługi w pewnym okresie czasu, a który nie będzie oddziałem stałym (np. plac budowy).
CCJ stosuje próbkowanie dla organizacji wielooddziałowej/wieloma lokalizacjami z zachowaniem następujących zasad:
- centrala oraz wszystkie oddziały objęte są jednym systemem zarządzania, który jest centralnie administrowany i auditowany,
- centralny przegląd zarządzania obejmuje centralę i wszystkie lokalizacje,
- audity wewnętrzne prowadzone są we wszystkich oddziałach według spójnego programu, inicjowane są wspólne zmiany w systemie zarządzania i dokumentacji systemowej w ramach doskonalenia, rozpatrywania skarg, itp.,
- wszystkie oddziały muszą mieć prawne lub kontraktowe powiązanie z centralą, które określają jej uprawnienia,
- w oddziałach realizowane są tego samego rodzaju procesy, podobnymi metodami i według podobnych procedur i systemów informacyjnych,
- próbkowanie musi zapewnić możliwość oceny przebiegu procesów funkcjonujących w organizacji wielooddziałowej, na zasadzie jednego przykładu,
- jeżeli w jednym oddziale stwierdzona jest niezgodność to w pozostałych oddziałach powinna być przeanalizowana taka sama sytuacja i również podjęte działania korygujące. Możliwe jest zwiększenie próbkowania w tych obszarach do czasu upewnienia się, że sytuacja się ustabilizowała,
- jeżeli została stwierdzona niezgodność z wymaganiami normy w jednym oddziale to dotyczy to całej organizacji wielodziałowej i nie można wydać certyfikatu dla całości; nie można po fakcie zapisania niezgodności wyłączać oddziału, w którym tą niezgodność stwierdzono.
Przykładowa minimalna liczba auditowanych oddziałów może wynosić:
- audit certyfikacyjny – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji
gdzie:
y – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit,
x – ogólna liczba oddziałów/lokalizacji auditowanych. audit w nadzorze – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.6 tj.
audit ponownej certyfikacji – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.8 tj.
Czas w każdym oddziale/lokalizacji oblicza się oddzielnie tak, jak dla organizacji jednooddziałowej. Zależnie od zakresu oceny prowadzonej w danym oddziale/lokalizacji, możliwe jest skrócenie, lub wydłużenie czasu trwania auditu. Przyjmuje się zasadę, że wyliczona w ten sposób suma czasu trwania auditów w cyklu 3-letnim w organizacji wielooddziałowej nie może być krótsza od analogicznej sumy wyliczonej jak dla organizacji jednooddziałowej wykonującej ten sam zakres czynności przy uwzględnieniu całkowitego stanu zatrudnionych zaangażowanych w realizację zakresu certyfikacji we wszystkich oddziałach.
W całym procesie certyfikacji i nadzoru CCJ ocenia wszystkie oddziały/lokalizacje organizacji z uwzględnieniem powyższej metodologii. W procesie certyfikacji, nadzoru i ponownej certyfikacji centrala organizacji wielooddziałowej/zlokalizowanej w wielu miejscach zawsze jest poddawana ocenie.
Zasady ustalania liczby auditodni dla organizacji wnioskującej o certyfikację zintegrowanych systemów zarządzania lub organizowania auditu połączonego
CCJ dla organizacji, które certyfikują system ISMS (SZBI) zintegrowany z, np.: QMS, BHP, FSMS, EMS, AQAP, stosuje następującą zasadę:
- podstawą do wyliczania liczby auditodni jest liczba personelu (liczba osób pracujących pod kontrola organizacji),
- część wspólna dla zintegrowanego systemu wynosi nie więcej niż 20%.
Ponadto w określaniu ostatecznej liczby auditodni uwzględnia się:
- rodzaj systemu zintegrowanego,
- kompetencje zespołu auditującego,
- stopień udokumentowania (zintegrowania) systemu,
- występujące zagrożenia,
- redukcja lub zwiększanie czasu trwania auditu,
- zniżki lub zwyżki wynikające z poniżej przedstawionych przypadków.
W ramach określania czasu trwania auditu mają zastosowanie zniżki lub zwyżki w przypadkach określonych poniżej
Zniżki mogą dotyczyć organizacji:
- którą CCJ wcześniej już certyfikował,
- procesy obejmują tylko jedną działalność,
- które nie są odpowiedzialne za projektowanie lub inne elementy normy,
- w których brak jest lub jest niskie ryzyko związane z wyrobem/procesem technologicznym,
- posiadających dojrzały system zarządzania lub posiadających doświadczenie w innych systemach zarządzania, uznany przez inną akredytowaną jednostkę certyfikującą (trzecią stronę),
- które działają na bardzo małym terenie w odniesieniu do liczby pracowników (np. tylko kompleks biurowy),
- w których realizowany jest audit połączony (w przypadkach równoczesnej współpracy z innymi jednostkami certyfikującymi),
- które prowadzą działania o niskiej złożoności, np.:
- działania związane z jedną główną działalnością (np. tylko usługi),
- w których wysoki procent zatrudnionych wykonuje te same proste zadania,
- identyczne działania na zmianach,
- proste funkcje w realizowanych procesach,
- znaczna część personelu pracuje poza lokalizacją, np.: handlowcy, kierowcy, serwisanci i możliwe jest auditowanie w formie przeglądu zapisów.
Suma zniżek nie powinna przekraczać 30 %.
Zwyżki mogą dotyczyć organizacji:
- które mają skomplikowaną logistykę obejmującą więcej niż jeden budynek lub lokalizację w zakresie SZBI,
- wielodziałowych, w których wymagane jest wizytowanie ich stałych lub tymczasowych oddziałów (objętych certyfikacją systemu SZBI/ISMS) i występuje znaczne zróżnicowanie wielkości oddziałów, praktyk pracy w prowadzonych działaniach i celów biznesowych,
- w których personel posługuje się kilkoma językami (co powoduje konieczność korzystania z tłumacza/tłumaczy lub wyklucza możliwość pracy poszczególnych auditorów niezależnie od siebie),
- ze względu na wyniki auditów wewnętrznych i zidentyfikowane niezgodności,
- w których występują potencjalne wzajemne oddziaływania z krytycznymi systemami informacyjnymi lub systemami przetwarzającymi informacje wrażliwe,
- które mają dużą liczbę przepisów regulujących działalność (żywność, medycyna, energetyka jądrowa itp.) i/lub zróżnicowanie w wymaganiach prawnych w oddziałach,
- w których systemy obejmują bardzo skomplikowane procesy lub stosunkowo dużą liczbę unikalnych działalności.
Suma wszystkich zniżek opisanych w niniejszych zasadach nie może przekraczać 30 % czasu określonego w pierwszej tabeli.