NAČRT IMPLEMENTACIJE

STANDARDA ISO 27001

1. KAKO BOMO IZVEDLI PROJEKT
 Odločitev ali bomo projekt implementacije izvedli sami ali s pomočjo
zunanjega izvajalca?

2. RAZUMEVANJE STANDARDA 27001

 Pregled zahtev ISO 27001
 Izvedba usposabljanja za ključne zaposlene, da pridobijo osnovno razumevanje
standarda
3. DOLOČITEV OBSEGA UPRAVLJANJA
INFORMACIJSKE VARNOSTI
 Identifikacija vseh informacijskih virov in aktivnosti v podjetju
 Odločitev kateri deli organizacije in informacij bodo zajeti v ISMS

4. ANALIZA VRZELI (GAP ANALIZA)

 Analiza trenutne skladnosti z zahtevami – kaj je že narejeno in kaj še manjka

5. IZDELAVA POLITIKE INFORMACIJSKE VARNOSTI

 Razvoj politike informacijske varnosti, ki odraža cilje in zaveze podjetja
glede varovanja informacij
 Pregled in objava politike ter seznanitev zaposlenih s politiko
6. IZVEDBA OCENE TVEGANJA
 Izvedba celovite ocene tveganja informacijske varnosti vključno s
prepoznavanjem in ocenjevanjem groženj ter ranljivosti

7. RAZVOJ POSTOPKOV IN KONTROL

 Razvoj dokumentov in kontrol, ki so potrebni za zmanjševanje tveganj
 Vključitev politik, postopkov in smernic za obvladovanje dostopa, varnosti gesel, upravljanje
incidentov, varnost zunanjih partnerjev itd.
 Določitev vlog, odgovornosti in pristojnosti

8. IZVAJANJE NOTRANJIH PREGLEDOV

 Redno izvajanje notranjih pregledov za preverjanje učinkovitosti in
skladnosti ISMS s standardom ISO 27001
 Sledenje ugotovljenim odstopanjem in izvedba izboljšav
9. CERTIFIKACIJA IN VZDRŽEVANJE
 Izvedba zunanje certifikacije
 Prejem certifikata po potrditvi skladnosti
 Redno vzdrževanje in nadgradnja sistema informacijske varnosti v skladu z
zahtevami standarda

10. NEPREKINJENO IZBOLJŠEVANJE

 Vključitev postopka neprekinjenega izboljševanja, ki omogoča stalno
prilagajanje in optimizacijo ISMS
 Redno spremljanje uspešnosti in učinkovitosti ISMS ter izvajanje potrebnih
korektivnih ukrepov.