ISO 27001 - ინფორმაციის უსაფრთხოების მართვის სისტემა
მაღალი ნდობა პარტნიორების მხრიდან
საფრთხის რისკის შემცირება
უსაფრთხოების შესახებ ცნობიერების ამაღლება
კიბერუსაფრთხოების სტრატეგია
მიმზიდველობის გაზრდა
ინციდენტების ეფექტური მართვა
რას წარმოადგენს ისო 27001?
ISO 27001 სტანდარტი მოიცავს მოთხოვნებს ინფორმაციული უსაფრთხოების მართვის სისტემის მიმართ (ISMS). სტანდარტის ინტეგრირება ნებისმიერი სახის ორგანიზაციას საშუალებას აძლევს მართონ ისეთი აქტივების უსაფრთხოება, როგორიცაა:
- ფინანსური ინფორმაცია;
- ინტელექტუალური საკუთრება;
- თანამშრომლების პირადი ინფორმაცია/დოსიე;
- მესამე მხარის მიერ მინდობილი ინფორმაცია.
სტანდარტის ვერსია
ISO სტანდარტები ყოველ 5 წელიწადში ერთხელ ექვემდებარება გადახედვას და საჭიროების მიხედვით ცვლილებას, რათა შესაბამისობაში იმყოფებოდეს თანამედროვე ტენდენციებთან. ISO 27001 სტანდარტის უახლოესი ვერსია გამოვიდა 2022 წელს.
2005
ISO 27001:2005
2013
ISO 27001:2013
2022
ISO 27001:2022
რამ განაპირობა სტანდარტის შექმნის აუცილებლობა?
თანამედროვე სამყარო სულ უფრო ციფრული და ვირტუალურად ურთიერთდაკავშირებული ხდება, ტექნოლოგიურად განვითარებასთან ერთად იზრდება კიბერშეტევების საფრთხეც. კომპანიის შიდა ინფორმაციის დაცვა მონაცემთა გარღვევისა (გაჟონვისა) და ჰაკერული/კიბერ თავდასხმისგან სულ უფრო რთული საქმე ხდება. შესაბამისად, თავის დასაცავად ორგანიზაციებისათვის მნიშვნელოვანია მდგრადი და უსაფრთხო სისტემებისა და პროცესების ინტეგრირება. სწორედ ინფორმაციის უსაფრთხოების უზრუნველსაყოფად შეიქმნა ISO 27001 სტანდარტი.
რას მიიღებს ორგანიზაცია ISO 27001-ის დანერგვით?
ISO 27001 სტანდარტის ეფექტურად დანერგვას მნიშვნელოვანი სარგებელი მოაქვს ორგანიზაციებისთვის, რომლებიც დამოკიდებულნი არიან ღირებული ან მგრძნობიარე ინფორმაციის დაცვაზე. სტანდარტის დანერგვით მიღებული სარგებელია:
- ხარისხის გარანტია
- აქტივების დაცვა
- ნდობის უფრო მაღალი დონე დაინტერესებული მხარეების მხრიდან
- უსაფრთხოების პოლიტიკის შემუშავება
- კიბერუსაფრთხოების სტრატეგიის შემუშავება
- მცირდება კიბერშეტევების რისკი
- IT მართვა/მენეჯმენტი
- მონაცემთა უსაფრთხოების იდენტიფიცირების მარტივი გზა
- ადამიანური ფაქტორით გამოწვეული ცდომილებების შემცირება
- აუმჯობესებს უსაფრთხოების შესახებ ცნობიერებას
- ინციდენტების მართვა
- საფრთხის დონის შემცირება
- შეფერხების დროის შემცირება
- დანაკარგების თავიდან აცილება
- მონაცემთა გაჟონვის თავიდან აცილება
- შესაბამისობის შემოწმება
- მართვის სისტემა
- GDPR (მონაცემთა დაცვის ზოგადი რეგულაცია)
- იზიდავს ახალ ბიზნესს და თანამშრომლებს.
ვის შეუძლია სერტიფიკატის აღება?
ISO 27001 სტანდარტის დანერგვა შეუძლია ნებისმიერი ბიზნეს სექტორს, იქნება ეს მცირე თუ დიდი ბიზნესი. სტანდარტი თავსებადია მენეჯმენტის სხვა სისტემებთან.
სერტიფიკატის გაცემა ხდება ორგანიზაციაზე/კომპანიაზე. ISO 27001 არ გაიცემა პიროვნებაზე, თუმცა შესაძლებელია წამყვანი აუდიტორის სერტიფიკატის აღება მოცემული მიმართულებით.
რა ღირს სერტიფიცირება?
სერტიფირების ღირებულება იყოფა 2 ნაწილად.
I - საერთაშორისო სტანდარტის დანერგვის საკონსულტაციო მომსახურების საფასური;
II - საერთაშორისო სტანდარტთან შესაბამისობის შემოწმების გარე აუდიტის საფასური;
საკონსულტაციო მომსახურებისა და სერტიფიცირების ღირებულება დამოკიდებულია კომპანიის სამუშაო დარგზე, სიდიდესა და სხვა თავისებურებებზე. სწორედ ამიტომ, მნიშვნელოვანია სერტიფიცირების განაცხადის ზედმიწევნით სრულყოფილად და ზუსტად შევსება.
რა ვადით გაიცემა ისო (ISO) სერტიფიკატი?
ISO სერტიფიკატი გაიცემა 3 წლის ვადით. აღნიშნული პერიოდის განმავლობაში, კლიენტი ყოველწლიურად გადის აუდიტს, რათა დადასტურდეს დანერგილი სტანდარტის მოთხოვნებთან შესაბამისობა.
შეიძლება თუ არა რომ კონსულტანტი და მასერტიფიცირებელი კომპანია იყოს ერთიდაიგივე?
საერთაშორისო სტანდარტიზაციის ორგანიზაციის მიერ დადგენილი მოთხოვნების თანახმად, დაუშვებელია, რომ კონსულტანტი და მსერტიფიცირებელი იყოს ერთიდაიგივე სუბიექტი.
როგორ შეიძლება გადავამოწმო სერტიფიკატის ნამდვილობა?
სტანდარტიზაციის საერთაშორისო ორგანიზაცია, რეკომენდაციას უწევს ისეთ მასერტფიცირებელ ორგანოებს, რომელთა მიერ გაცემული სერტიფიკატის ვალიდურობის გადამოწმება შესაძლებელია საერთაშორისო აკრედიატაციის ფორუმის IAF-ის ოფიციალურ ვებ გვერდზე.
სხვა სტანდარტები
რატომ უნდა აირჩიოთ
საქართველოს სერტიფიცირების ორგანიზაცია
ჩვენ თითოეულ ბიზნესსექტორს ვუდგებით ინდივიდუალურად და ვეხმარებით მათი ძლიერი და სუსტი მხარეების გაანალიზებასა და შესაძლებლობების გაფართოების კუთხით.
ჩვენს მიერ განხორციელებული საქმიანობა გამჭვირვალეა, ხოლო მასერტიფიცირებლის მხრიდან გაცემული სერტიფიკატის გადამოწმება შესაძლებელია IAF-ის (საერთაშორისო აკრედიტაციის ფორუმი) ოფიციალურ ვებ-გვერდზე.
რატომ უნდა აირჩიოთ
საქართველოს სერტიფიცირების ორგანიზაცია
ჩვენ თითოეულ ბიზნესსექტორს ვუდგებით ინდივიდუალურად და ვეხმარებით მათი ძლიერი და სუსტი მხარეების გაანალიზებასა და შესაძლებლობების გაფართოების კუთხით.
ჩვენს მიერ განხორციელებული საქმიანობა გამჭვირვალეა, ხოლო მასერტიფიცირებლის მხრიდან გაცემული სერტიფიკატის გადამოწმება შესაძლებელია IAF-ის (საერთაშორისო აკრედიტაციის ფორუმი) ოფიციალურ ვებ-გვერდზე.
სერტიფიცირების ეტაპები
წინასახელშეკრულებო პერიოდი
ხელშეკრულების პირობებზე შეთანხმება და კონტრაქტის გაფორმება;
საკონსულტაციო მომსახურების პირველი წლის გადასახადის 50%-ის დაფარვა.
გეპ ანალიზი
საკონტაქტო პირის გამოყოფა, რომელიც პასუხისმგებელი იქნება გეპ ანალიზის განხორციელების მიზნით, საკონსულტაციო ჯფუფისთვის ინფორმაციის მიწოდებაზე;
საკონსულტაციო ჯგუფის სამუშაო ვიზიტი კლიენტის საწარმოო ობიექტზე.
ტრენინგი
გაცნობითი ტრენინგი კომპანიის პასუხიმგებელი პირებისათვის;
გეპ ანალიზის შედეგების განხილვა;
სამუშაო ჯგუფების დაკომპლექტება;
სამუშაოთა გეგმა-გრაფიკის შეთანხმება.
სტანდარტის დანერგვა
ორგანიზაციული სტრუქტურის დაზუსტება;
ძირითადი და დამხმარე პროცესების იდენტიფიცირება;
პროცედურებისა და ინსტრუქციების შემუშავება, დოკუმენტაციის საერთაშორისო სტანდარტებთან შესაბამისობაში მოყვანის მიზნით.
შიდა აუდიტი
ტრენინგი - შიდა აუდიტის დაგეგმვა და ჩატარება;
შიდა აუდიტის ჩატარების პროცესში საკონსულტაციო მხარდაჭერა.
სერტიფიცირება
გარე აუდიტის პროცესში, კომპანიის წარმომადგენლების მხარდაჭერა;
გარე აუდიტის შედეგების ანალიზი;
მომდევნო აუდიტისთვის მოსამზადებლად რეკომენდაციების გაცემა.
წინასახელშეკრულებო პერიოდი
ხელშეკრულების პირობებზე შეთანხმება და კონტრაქტის გაფორმება;
საკონსულტაციო მომსახურების პირველი წლის გადასახადის 50%-ის დაფარვა.
გეპ ანალიზი
საკონტაქტო პირის გამოყოფა, რომელიც პასუხისმგებელი იქნება გეპ ანალიზის განხორციელების მიზნით, საკონსულტაციო ჯფუფისთვის ინფორმაციის მიწოდებაზე;
საკონსულტაციო ჯგუფის სამუშაო ვიზიტი კლიენტის საწარმოო ობიექტზე.
ტრენინგი
გაცნობითი ტრენინგი კომპანიის პასუხიმგებელი პირებისათვის;
გეპ ანალიზის შედეგების განხილვა;
სამუშაო ჯგუფების დაკომპლექტება;
სამუშაოთა გეგმა-გრაფიკის შეთანხმება.
სტანდარტის დანერგვა
ორგანიზაციული სტრუქტურის დაზუსტება;
ძირითადი და დამხმარე პროცესების იდენტიფიცირება;
პროცედურებისა და ინსტრუქციების შემუშავება, დოკუმენტაციის საერთაშორისო სტანდარტებთან შესაბამისობაში მოყვანის მიზნით.
შიდა აუდიტი
ტრენინგი - შიდა აუდიტის დაგეგმვა და ჩატარება;
შიდა აუდიტის ჩატარების პროცესში საკონსულტაციო მხარდაჭერა.
სერტიფიცირება
გარე აუდიტის პროცესში, კომპანიის წარმომადგენლების მხარდაჭერა;
გარე აუდიტის შედეგების ანალიზი;
მომდევნო აუდიტისთვის მოსამზადებლად რეკომენდაციების გაცემა.