ISO 27001 to globalny certyfikat potwierdzający dojrzałe zarządzanie bezpieczeństwem informacji. Trudność nie leży w pisaniu polityk, tylko w kwartalnym zbieraniu dowodów, że polityki realnie działają.
ISO 27001 wymaga zarządzanego programu bezpieczeństwa informacji, oceny ryzyka, kontroli, własności, dowodów i ciągłego doskonalenia. Trudność nie leży w pisaniu polityk, tylko w udowadnianiu, że bezpieczeństwo realnie działa.
Każde wymaganie wybranych ram, ocenione dla każdego narzędzia. Punktacja redakcyjna — na podstawie dokumentacji, dem i raportów użytkowników.
| Wymaganie | 🇵🇱 $200 / mies. | 🇺🇸 od ~$8 | 🇺🇸 od ~$7 | 🇺🇸 od $3 / użytkownik / mies. | 🇬🇧 od $28 / użytkownik / rok | 🇸🇰 od $190 / 5 urządzeń / rok | Notatka redakcji |
|---|---|---|---|---|---|---|---|
Zakres ISMS i SoA Statement of Applicability z własnością kontroli. | Zaimplementowane | Silne | Silne | Brak | Brak | Brak | ›Aneks A 2022 zmapowany, własność przypisana, dowody na kontrolę. |
Plan postępowania z ryzykiem Rejestr ryzyka powiązany z kontrolami i traktowaniem. | Zaimplementowane | Silne | Silne | Brak | Brak | Brak | ›Generuje dowody traktowania ryzyka z sygnałów — nie z arkusza. |
Dowody operacyjne na kontrolę Dowody A.5–A.8 zbierane stale. | Zaimplementowane | Silne | Silne | Częściowe | Częściowe | Częściowe | ›Łączy telemetrię EDR/EPP w pakiety dowodów per-kontrola. |
Kontrola dostępu i MFA Kwartalne przeglądy, wymuszone MFA. | Przez integrację | Silne | Silne | Silne | Częściowe | Częściowe | ›Weryfikuje MFA we wszystkich IdP i wysyła raporty przeglądu. |
Ochrona endpoint (A.8.7) Pokrycie EDR/EPP na każdym urządzeniu. | Częściowe | Brak | Brak | Silne | Silne | Silne | ›Nie natywny EDR — pakuje bazę Wazuh lub opakowuje istniejący EDR. |
Audyt wewnętrzny i ciągłe doskonalenie Cykl audytu, znaleziska, działania naprawcze. | Zaimplementowane | Zaimplementowane | Zaimplementowane | Brak | Brak | Brak | ›Śledzi znaleziska do zamknięcia z właścicielem + terminem. |
Ocena dostawców Rejestr due-diligence dostawcy. | Zaimplementowane | Silne | Silne | Brak | Brak | Brak | ›Wbudowany rejestr dostawców bez dodatkowych opłat. |
Metodologia: publiczna dokumentacja, dema, rozmowy z praktykami. Zweryfikuj u dostawcy przed zakupem.
ISO 27001 to globalny certyfikat potwierdzający dojrzałe zarządzanie bezpieczeństwem informacji. Trudność nie leży w pisaniu polityk, tylko w kwartalnym zbieraniu dowodów, że polityki realnie działają.
Firmy potrzebujące uznanej certyfikacji ISMS.
Rejestr ryzyka, SoA, logi audytów, szkolenia, oceny dostawców.
Dowody operacyjne i pętla ciągłego doskonalenia.
Mapuje sygnały na Aneks A i prowadzi ciągłe doskonalenie.