Informācija ir svarīgs uzņēmuma (organizācijas) resurss, un rīcībām ar klientu konfidenciālo informāciju jāievēro īpaši nosacījumi. Nesankcionēta piekļuve nozīmīgai informācijai un uzņēmuma rīcībā esošām zināšanām vai to zaudējums negatīvi ietekmē dažādus uzņēmējdarbības aspektus, tostarp, var negatīvi ietekmēt uzņēmuma (organizācijas) konkurētspēju un reputāciju un veicināt krāpniecības mēģinājumus.

Mērķis

Sertificēta informācijas drošības pārvaldības sistēma apliecina uzņēmuma saistības attiecībā uz informācijas aizsardzību un sniedz pārliecību par informācijas resursu piemērotu aizsardzību, neskatoties uz to glabāšanu - drukātā, elektroniskā vai darbinieku zināšanu veidā.

Uzņēmuma īpašnieku, vadītāju, apakšuzņēmēju, klientu un citu ieinteresēto pušu interese par uzņēmuma rīcībā esošās informācijas aizsardzību vienmēr ir bijusi, tomēr ne vienmēr ir acīmredzami informācijas aizsardzības īstenošanas pasākumi uzņēmumā. Ieinteresētās puses uztrauc joprojām nereti konstatētie krāpniecības mēģinājumi un citi nozīmīgi incidenti, kas izraisa zaudējumus. Ieinteresētās puses var pieprasīt efektīvu informācijas drošības pasākumu izstrādi un īstenošanu.

Informācijas drošības pārvaldības sistēma ļauj mērķtiecīgi mazināt informācijas nesankcionētas pieejas vai zaudējuma riskus un nodrošināt aizsardzības pasākumu efektīvu pārvaldību. Pielietojot informācijas drošības pārvaldības sistēmu, uzņēmums ievēro atbilstību normatīvajām un citām prasībām, kā arī pilnveidojas informācijas drošā pārvaldībā.

Information security management systems take a systematic approach to minimising the risk of unauthorised access or loss of information and ensuring the effective management of protective measures put in place. They provide a framework for organisations to manage their compliance with legal and other requirements, and improve performance in managing information securely.

ISO / IEC 27001 ir plaši zināms informācijas drošības pārvaldības sistēmu standarts, ko var lietot jebkuras nozares uzņēmumā (organizācijā). Standarta tematikā ir visaptverošas prasības informācijas drošības pārvaldībai, sākot ar digitālo informāciju, drukātiem dokumentiem, infrastruktūras resursiem (datoriem, datortīkliem) līdz pat darbinieku individuālajām zināšanām.

Standartā iekļautas prasības darbinieku kompetences pilnveidei, tehniskai aizsardzībai pret informācijas iegūšanu krāpniecības mēģinājumiem, informācijas drošības mērīšanas sistēmai, rīcībām incidentu gadījumos un vispārējas vadības sistēmu standartu prasības iekšējam auditam, vadības pārskatam un nepārtrauktai pilnveidei.

DNV piedāvā arī uzņēmuma (organizācijas) drošības pārvaldības sistēmas sertifikāciju atbilstoši Pasaules loterijas asociācijas drošības standartiem (World Lottery Association (WLA) Security Control Standards©. ). WLA standarti ir speciāli izstrādāti loterijas spēles procesu drošības sistēmām. Lai sertificētos atbilstoši WLA standartiem, uzņēmumam (organizācijai) jābūt WLA biedram.

Ieguvumi

Ieviešot efektīvu informācijas drošības pārvaldības sistēmu var identificēt un ievērojami mazināt uzņēmuma riskus, saistītus ar informācijas drošību, tādējādi aizsargājot uzņēmuma rīcībā esošo informāciju.

Informācijas drošības pārvaldības sistēmas ieviešanas un sertifikācijas nozīmīgākie iemesli:

• atbildība par klientu un uzņēmuma rīcībā esošās informācijas aizsardzību;
  

• efektīva struktūra normatīvo prasību, t.sk., datu aizsardzības normatīvo prasību, izpildei;

• business-to business (klienta un piegādātāja) līguma nosacījumi;

• uzlabota darbību (procesu) vadība un pārdomātas rīcības zaudējumu gadījumos sniedz iespēju ietaupīt izmaksas;

• uzlabota uzņēmuma (organizācijas) konkurētspēja, pateicoties atbildīga un droša uzņēmuma tēlam.

Apraksts

DNV ir ievērojama informācijas drošības pārvaldības un citu vadības sistēmu sertifikācijas pieredze. DNV īstenotā informācijas drošības pārvaldības sistēmas sertifikācija ir apliecinājums uzņēmuma augstākajai vadībai un citām ieinteresētajām pusēm par uzņēmuma informācijas, ar to saistīto risku un atbilstības normatīvajām prasībām efektīvu pārvaldību.

Lietojot Risk Based Certification™ pieeju, DNV auditori koncentrējas uz uzņēmuma informācijas drošības pārvaldības sistēmas piemērotības izvērtējumu uzņēmuma noteiktajās nozīmīgajās jomās. Vienlaicīgi tiek vērtēta informācijas drošības pārvaldības sistēmas atbilstība izvēlētajiem standartiem. Pārzinot uzņēmuma darbības jomu un izmantojot savu pieredzi, DNV auditori īsteno auditu, kura rezultāti pievieno vērtību uzņēmuma informācijas drošības pārvaldības sistēmai.

DNV izstrādātā Risk Based Certification™ pieeja tiek lietota DNV vadības sistēmu auditos visā pasaulē. DNV vadības sistēmu sertifikācija ir akreditēta daudzu valstu nacionālajās akreditācijas sistēmās. Izmantojot DNV resursu globālo pieejamību, tiek īstenoti vadības sistēmu sertifikācijas pakalpojumi, kas atbilst klienta vēlmēm, uzņēmējdarbības veidam un tā atrašanās vietai.

Informācijas drošības pārvaldības sistēmas sertifikāciju var kombinēt ar sertifikāciju atbilstoši citu vadības sistēmu standartu, piemēram, ISO 9001 ISO 14001 un OHSAS 18001, prasībām.

Sertifikācijas process

Vairāk par vadības sistēmu sertifikāciju sadaļās – akreditēta sertifikācija, ceļš uz sertifikāciju un kādēļ sadarboties ar DNV.