Pregledamo skladnost informacijskih sistemov s standardi družine ISO/IEC 27001 ter sorodnimi standardi obvladovanja tveganj, osebnih podatkov in neprekinjenosti poslovanja. Z revizijskimi metodami ugotovimo dejansko stanje, opredelimo vrzeli glede na zahteve standarda in naročnika postopno usmerjamo v skladnost po časovnici, ki si jo zastavi sam. Certificiranje izvajamo v sodelovanju z akreditiranim certifikacijskim organom TÜV Austria Slovenija.
Kdaj je skladnost s standardi smiselna in kdaj obvezna
Za razliko od predpisov standardi praviloma niso pravno obvezni. Organizacija se za skladnost s standardom odloči sama, gonilo pa ni državni nadzornik, temveč lasten poslovni interes ali zahteva poslovnega okolja. Razmerje med obvezujočo regulativo in prostovoljnimi standardi podrobneje obravnavamo v sklopu storitev Skladnost s predpisi.
Kljub temu, da je skladnost s standardi praviloma prostovoljna, je vse pogosteje vgrajena v pričakovanja okolja (poslovnih partnerjev, naročnikov, kupcev). Certifikat ISO/IEC 27001 je redna pogodbena zahteva večjih naročnikov in pogost pogoj ali prednost v javnih naročilih, hkrati pa je priznan način izkazovanja ustreznega obvladovanja informacijske varnosti tudi v razmerju do nadzornih organov.
Iz tega izhajajo trije razlogi, zaradi katerih je skladnost s standardi smiselna tudi tam, kjer je predpis ne zahteva:
Pot do skladnosti s predpisi
Skladnost s standardom družine ISO/IEC 27001 lahko organizaciji pomaga, da se približa skladnosti s predpisi ali jo izboljša, saj se mnogi predpisi vsebinsko prekrivajo s standardom. Standard tako postane sistematičen okvir, na katerem organizacija dograjuje izpolnjevanje specifičnih zakonskih zahtev. Standard prav tako izpolnjuje praznine, ki se praviloma pojavljajo v predpisih.
Konkurenčna prednost
Izkazana skladnost s priznanim standardom je tržni signal zaupanja. Naročnikom in partnerjem dokazuje, da organizacija informacijsko varnost obvladuje sistematično in ne priložnostno.
Stroškovna učinkovitost in nadzor nad procesi
Vzpostavitev kontrol, ki jih določa standard, ob pravilnem pristopu izboljša nadzor nad procesi. Boljši nadzor hkrati povečuje učinkovitost procesov, zmanjšuje število incidentov in s tem dolgoročno znižuje stroške njihovega obvladovanja.
Skladnost s standardi je tako smiselna ob pripravi na pomembnejša poslovna sodelovanja, pred vstopom na regulirane trge, ob širitvi storitev v oblak, kot odgovor na zahteve naročnikov ali preprosto kot odločitev poslovodstva, da informacijsko varnost in s tem povezane procese sistematično uredi.
Naš pristop in metodologija
Naš pristop k skladnosti s standardi izhaja iz revizijskih metod in postopkov, ne iz svetovalnega soustvarjanja rešitev. Naše poslanstvo ni vpeljava standarda namesto naročnika, temveč neodvisni pregled trenutnega stanja in postopno usmerjanje v skladnost. V praksi gre za analizo vrzeli skozi sprotne preglede in postopno prilagajanje sistema vodenja zahtevam standarda.
Pri pregledih se opiramo na mednarodni okvir za dajanje zagotovil na področju informacijskih sistemov (ITAF — Information Technology Assurance Framework), ki ga vzdržuje ISACA, in na zahteve standardov, ki jih določimo kot sodila. Osrednji standard je ISO/IEC 27001 s pripadajočo družino: ISO/IEC 27002 (kontrole), ISO/IEC 27003 in ISO/IEC 27004 (smernice za vzpostavitev in merjenje) ter ISO/IEC 27005 (obvladovanje tveganj informacijske varnosti). Specializirana področja pokrivamo s standardi ISO/IEC 27017 (oblačne storitve), ISO/IEC 27018 in ISO/IEC 27701 (varstvo zasebnosti) z ISO/IEC 29134 (ocena učinkov na zasebnost), ISO/IEC 27031 (pripravljenost IS na neprekinjenost), ISO/IEC 27033 (omrežna varnost), ISO/IEC 27034 (varnost aplikacij), ISO/IEC 27035 (obvladovanje incidentov) in ISO/IEC 27036 (odnosi z dobavitelji). Pri obvladovanju tveganj se opiramo na ISO 31000 in ISO/IEC 31010, pri neprekinjenosti poslovanja na ISO 22301.
Pregled skladnosti izpeljemo v štirih fazah, ki si sledijo v jasnem zaporedju:
Začetna analiza vrzeli
Revizijski pregled trenutnega stanja sistema vodenja glede na zahteve izbranega standarda. Z naročnikom uskladimo obseg in sodila, nato popišemo odstopanja in jih podpremo z dokazi. Rezultat je pregledna slika stanja organizacije glede na standard.
Načrt postopnega prilagajanja
Ugotovljene vrzeli se prevedejo v prednostni vrstni red odprave. Naročnik sam postavi časovnico in intenzivnost uvedbe glede na svoje interese in zmožnosti — kdaj in v kakšnem tempu želi doseči skladnost. Naša vloga je usmerjevalna, končna izbira ukrepov ostane pri naročniku.
Sprotni kontrolni pregledi
Naročnik odpravlja vrzeli, mi pa periodično pregledamo doseženo stanje in usmerjamo naslednje aktivnosti. »Mehki prehod« omogoča postopno usklajevanje brez prekinitve poslovanja in ohranja neodvisnost pregleda.
Pregled pripravljenosti na certifikacijo
Zaključna faza. Ko je naročnik pripravljen, izvedemo pregled, s katerim ugotavljamo, ali sistem vodenja izpolnjuje zahteve standarda v meri, ki omogoča uspešno certifikacijsko presojo. Certifikacijsko presojo izvede akreditirani certifikacijski organ TÜV Austria Slovenija.
Področja pregleda skladnosti
Pregled lahko zajame celoten sistem vodenja informacijske varnosti ali tematsko ozko opredeljeno področje. Tipična področja, ki jih pregledamo glede na zahteve standarda, so:
- Ocena in obravnava tveganj
- Pregled metodologije obvladovanja tveganj, celovitosti registra tveganj in ustreznosti izbranih ukrepov skladno z ISO/IEC 27005, ISO 31000 in ISO/IEC 31010.
- Izjava o uporabnosti in izbira kontrol
- Pregled utemeljenosti vključenih in izključenih kontrol ter njihove povezave z ugotovljenimi tveganji in zahtevami standarda.
- Politike in postopki
- Pregled dokumentacije sistema vodenja — ali politike, postopki in zapisi obstajajo, so ustrezno potrjeni in dejansko odražajo prakso v organizaciji.
- Tehnične in organizacijske kontrole
- Pregled delovanja kontrol s področij omrežne in aplikacijske varnosti, upravljanja dostopov, oblačnih storitev in odnosov z dobavitelji (ISO/IEC 27017, 27033, 27034, 27036).
- Obvladovanje incidentov
- Pregled procesov zaznavanja, obravnave in poročanja o varnostnih dogodkih ter njihove skladnosti z ISO/IEC 27035.
- Neprekinjenost poslovanja
- Pregled pripravljenosti na motnje in okrevanje skladno z ISO 22301 in ISO/IEC 27031.
- Varstvo zasebnosti
- Pregled kontrol obdelave osebnih podatkov in ocene učinkov na zasebnost skladno z ISO/IEC 27701 in ISO/IEC 29134.
- Notranje presoje in vodstveni pregled
- Pregled delovanja mehanizmov samonadzora — izvedemo notranjo presojo sistema vodenja, podpiramo vodstvene preglede in proces nenehnega izboljševanja.
Kadar pregled zahteva tehnično preverjanje, ki presega revizijski pregled, lahko pritegnemo preverjene podizvajalce — na primer pri izvajanju vdornih testov ali drugih tehničnih testiranj. Obseg in vrsto takih testiranj določimo skupaj z naročnikom, izsledki pa ostanejo del dokumentacije pregleda.
Rezultati
Glavni rezultat pregleda je poročilo z analizo vrzeli, ki dejansko stanje sistema vodenja primerja z zahtevami izbranega standarda. Vsaka ugotovljena vrzel je sledljiva in podprta z dokazi, ki ostanejo del dokumentacije pregleda.
Poročilu priložimo akcijski načrt s prednostnim razporedom odprave vrzeli. Načrt je zasnovan tako, da ga naročnik umesti v lastno časovnico in hitrost uvedbe — postopno prilagajanje je v celoti pod njegovim nadzorom.
Med postopkom naročnik prejema sprotna poročila pregledov, ki spremljajo napredek in usmerjajo naslednje aktivnosti. Ob zaključku pripravimo pregled pripravljenosti na certifikacijo, ki naročniku in certifikacijskemu organu izkaže, da je sistem vodenja zrel za certifikacijsko presojo.
Poudariti je treba, da nobeden od teh izhodov ni certifikat. Naša poročila so revizijska mnenja in pregledi skladnosti; certifikat skladnosti s standardom podeli izključno akreditirani certifikacijski organ.
Kvalifikacije in razmejitev vlog
Strokovne kvalifikacije
Preglede skladnosti s standardi izvajajo kvalificirani strokovnjaki z nazivi:
- aPRIS
- Aktivni preizkušeni revizor informacijskih sistemov — naziv Slovenskega inštituta za revizijo, ki je temelj revizijskega pristopa k pregledu skladnosti.
- CISA
- Certified Information Systems Auditor — mednarodni naziv ISACA, mednarodno priznana v reguliranih sektorjih.
- ISO/IEC 27001 Lead Auditor
- Kvalifikacija za presojo sistemov vodenja informacijske varnosti, ki revizijsko delo dopolnjuje s formalnim okvirom presojevalca po standardu.
Vse kvalifikacije so vezane na obvezo stalnega strokovnega izpopolnjevanja in spoštovanje profesionalnih kodeksov etike.
Razmejitev vlog
Naš pristop izhaja iz revizijskih metod, zato je razmejitev vlog ključna in jo navajamo izrecno.
CEPRIS ni akreditirani certifikacijski organ in samostojno ne podeljuje certifikatov skladnosti s standardi. Lahko pa izdaja revizijska mnenja in izvaja preglede skladnosti tudi na področju standardov — kar ni certificiranje. Certifikat se podeli izključno v sodelovanju z akreditiranim certifikacijskim organom TÜV Austria Slovenija.
Skladnost dosegamo skozi preglede, ne skozi neposredno svetovanje. Ne soustvarjamo rešitev, ki bi jih pozneje pregledali. Usmerjamo, kateri koraki naročnika približajo zahtevam standarda, odločitev o ukrepih je prepuščena naročniku. Tako ohranjamo neodvisnost pregledov in naročniku omogočamo postopen, »mehek« prehod v skladnost po časovnici, ki si jo postavi sam.
Zaupnost informacij, ki jih prejmemo med pregledom, je trajna obveza in se ne preneha z zaključkom posla. Dokumentacija pregleda je v naši hrambi ločena od ostale poslovne dokumentacije in je dostopna le ekipi, ki izvaja pregled.
Povpraševanje za pregled skladnosti s standardi
Sprejemamo vaša povpraševanja za predračun ali svetovanje glede obsega pregleda skladnosti. Pri povpraševanju kratko opišite:
- — vrsto in dejavnost organizacije,
- — standard ali standarde, s katerimi želite pregledati skladnost,
- — ali gre za pripravo na certifikacijo ali za notranjo oceno stanja,
- — okvirno časovnico, v kateri želite doseči skladnost.
E-pošta: info@cepris.si
Pogosta vprašanja
Kakšna je razlika med skladnostjo s predpisi in skladnostjo s standardi?
Predpisi so pravno obvezujoči. Njihovo izpolnjevanje nadzira državni organ, neskladju lahko sledijo pravne sankcije. Standardi so praviloma prostovoljni — organizacija se sama odloči, da bo svoj sistem vodenja uskladila z zahtevami standarda, skladnost pa najpogosteje izkaže s certifikatom, ki ga podeli akreditirani certifikacijski organ.
Področji se prepletata. Skladnost s standardi družine ISO/IEC 27001 je pogosto priznan način izkazovanja ustreznega obvladovanja informacijske varnosti tudi v razmerju do nadzornih organov, zato je lahko skladnost s standardom pot do skladnosti s predpisom ali način izboljševanja organizacije. Več o regulatorni skladnosti pojasnjujemo v sklopu storitve Skladnost s predpisi.
Ali nam lahko pomagate do certifikata ISO/IEC 27001?
Da, vendar posredno in v jasno razmejenih vlogah. Z revizijskimi metodami ugotavljamo dejansko stanje vašega sistema vodenja, opredelimo vrzeli glede na zahteve standarda in vas skozi sprotne kontrolne preglede postopno usmerjamo v skladnost po časovnici, ki si jo zastavite sami.
Certifikata ne podeljujemo sami. Certifikacijsko presojo in podelitev certifikata izvede akreditirani certifikacijski organ TÜV Austria Slovenija, s katerim pri tem sodelujemo. Tak pristop ohranja ločnico med pregledom, ki vas pripravi in usmerja v skladnost, in certifikacijsko presojo neodvisnega organa.
Ali ste certifikacijski organ?
CEPRIS ni akreditirani certifikacijski organ in samostojno ne podeljuje certifikatov skladnosti s standardi.
Izdajamo lahko revizijska mnenja in izvajamo preglede skladnosti tudi na področju standardov — vendar to ni certificiranje. Naš pristop izhaja iz revizijskih metod in postopkov. Pregled skladnosti pomeni neodvisno ugotavljanje stanja glede na zahteve standarda, ne pa podelitve certifikata. Certifikat se podeli izključno v sodelovanju z akreditiranim certifikacijskim organom TÜV Austria Slovenija.
Ali nas lahko isti izvajalec usmerja v skladnost in nato izvede presojo?
To je pomembna razmejitev. Naše delo ni neposredno svetovanje v smislu soustvarjanja rešitev, ki bi jih pozneje presojali. Skladnost dosegamo skozi revizijske preglede: ugotovimo dejansko stanje, opredelimo vrzeli in usmerjamo, katere aktivnosti naročnika približajo zahtevam standarda. Odločitev o konkretnih ukrepih in njihova izvedba ostaneta odločitev naročnika.
Tak pristop ohranja neodvisnost pregleda, hkrati pa naročniku omogoča postopen in nadzorovan prehod. Certifikacijsko presojo, ki je formalno ločena od našega pregleda, izvede akreditirani certifikacijski organ.
Kako se certifikacija ISO/IEC 27001 povezuje z direktivo NIS2 oziroma ZInfV-1?
Standard ISO/IEC 27001 sam po sebi ni pravna obveznost, vendar je certifikat splošno priznan način izkazovanja, da organizacija sistematično obvladuje informacijsko varnost. Tudi zakonodajalec je v spremnem besedilu zakona izrecno navedel ISO 27001 kot standard, ki je združljiv z zahtevami zakona. Velik del zahtev, ki jih predpisi s področja informacijske varnosti naslavljajo, se vsebinsko prekriva z zahtevami standarda, zato skladnost s standardom praviloma pokrije pomemben delež regulatornih pričakovanj ali pa jih presega.
To pa ne pomeni samodejne skladnosti s predpisom. Razmerje med standardom in predpisom obravnavamo v sklopu storitev Skladnost s predpisi, kjer je opisan regulativni vidik, vključno z Zakonom o informacijski varnosti (ZInfV-1) in direktivo NIS2.
Ali certifikat zadošča za izpolnitev zakonskih obveznosti?
Certifikat dokazuje skladnost s standardom, ne pa samodejno tudi skladnosti s predpisom. Predpisi lahko vsebujejo zahteve, ki presegajo obseg standarda, ali pa naslavljajo področja, ki jih standard sploh ne pokriva.
Certifikat je zato pomemben pripomoček in pogosto naslovi pomemben delež regulatornih pričakovanj, ni pa nadomestilo za pregled skladnosti s konkretnim predpisom. Smiselno ga je obravnavati kot temelj, na katerem organizacija dograjuje izpolnjevanje specifičnih zakonskih zahtev ali pa dopolnitev ali utrditev izpolnjevanja zahtev predpisov.