System zarządzania bezpieczeństwem informacji według ISO 27001

Czym jest ISO 27001?

ISO 27001 (lub też ISO/IEC 27001) to międzynarodowa norma określająca specyfikacje bezpiecznego systemu zarządzania informacjami. Za jej powstaniem przemawia coraz większa potrzeba zachowania poufności różnego rodzaju danych. Norma stosuje podejście procesowe w celu ustanowienia, wdrożenia, prowadzenia, monitorowania, przeglądów, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji. Tym samym stała się międzynarodowym standardem w tej dziedzinie. Jej założenia są uniwersalne, co oznacza, że mogą być zastosowane przez dowolny podmiot, niezależnie od obszaru i skali działania, typu, a także branży. Ponadto norma ISO/IEC 27001 doskonale współgra z innymi systemami zarządzania, takimi jak ISO 9001 i ISO 14001. Oznacza to, że możliwe jest ich harmonijne wdrażanie i stosowanie w celu zapewnienia najwyższych standardów w zakresie funkcjonowania firmy.

Poznaj szkolenia ISO

Czego dotyczy norma ISO 27001?

Norma określa sposoby zapewnienia bezpieczeństwa informacjom, a zatem danym cyfrowym, systemom komputerowym i sieciowym oraz dokumentom papierowym. Ochronie podlega ponadto wiedza pracowników. System zbudowany na podstawie wymogów normy pomaga chronić dane w zakresie:

• poufności – ograniczenia dostępu do informacji przez osoby nieuprawnione,
• integralności – dokładności i kompletności danych oraz metod ich przetwarzania,
• dostępności – umożliwienia dostępu do danych uprawnionym osobom zawsze wtedy, gdy jest to wymagane.

ISO 27001 – dla kogo?

Jak już wspomniano, norma ISO 27001 opiera się na uniwersalnych założeniach, które można dostosować do działalności każdej firmy i instytucji, tworząc wydajny i szczelny system zarządzania bezpieczeństwem informacji. Są jednak takie obszary działalności, w których wdrożenie rozwiązań zgodnych z normą i certyfikacja mogą być szczególnie pożądane. To przede wszystkim:

• firmy z branży IT,
• instytucje finansowe,
• placówki ochrony zdrowia (ze względu na dane medyczne),
• przedsiębiorstwa handlowe i usługowe gromadzące dane o klientach.

Dzięki wdrożeniu normy można zapewnić maksymalną ochronę informacji, a jednocześnie świetną dostępność usług IT i optymalizację wielu procesów w organizacji. Warto pamiętać, że informacje są niezwykle istotnymi aktywami każdej organizacji, a powierzone jej poufne dane wiążą się z konkretnymi obowiązkami. Utrata danych lub nieuprawniony dostęp do nich może mieć katastrofalny wpływ nie tylko na wizerunek firmy czy instytucji, ale również na ciągłość jej działania i utratę przewagi rynkowej. Utrata informacji może być też podstawą odpowiedzialności karnej i finansowej, np. gdy chodzi o dane osobowe, które powinny być przetwarzane zgodnie z zasadami RODO.

Jak wdrożyć normę ISO 27001 w firmie lub innej organizacji?

Uzyskanie certyfikatu ISO 27001 wymaga od organizacji wdrożenia rozwiązań zgodnych z jej wymogami – bez żadnych wyjątków. Konieczne jest przy tym dostosowanie owych wymogów do specyfiki funkcjonowania firmy lub instytucji. Odpowiednią wiedzę można zdobyć na specjalistycznych kursach, warsztatach i szkoleniach z SZBI i ISO 27001 lub w innych źródłach. Wiele organizacji korzysta jednak z eksperckiej pomocy w ocenie aktualnego systemu zarządzania bezpieczeństwem informacji i zaplanowaniu oraz wdrożeniu zmian, które pozwolą uzyskać certyfikację ISO 27001. Należy uwzględnć również stosowne audyty bezpieczeństwa.

Wdrażanie zmian w organizacji odbywa się w oparciu o tzw. podejście procesowe. Wykorzystuje się w tym celu cykl Deminga zwany również cyklem PDCA (Plan, Do, Check, Act – Zaplanuj, Zrealizuj, Sprawdź, Działaj). Kolejne etapy tego cyklu polegają na:

• planowaniu (P) – ustaleniu celów i procedur niezbędnych do uzyskania określonych wyników w zakresie systemu zarządzania bezpieczeństwem informacji,
• realizacji (D) – wdrożeniu opracowanych rozwiązań,
• sprawdzaniu (C) – monitorowaniu efektów wprowadzonych zmian w odniesieniu do działalności i zadań organizacji, a także wymagań prawnych (zobacz szkolenia Compliance),
• działaniu (A) – podejmowaniu działań dotyczących ciągłego doskonalenia funkcjonowania systemu zarządzania bezpieczeństwem informacji.

Proces ten powinien powtarzać się cyklicznie, zgodnie z zasadą ciągłego doskonalenia przyjętych schematów i rozwiązań, jaki jest charakterystyczny dla wszystkich norm ISO.

ISO 27001 – dlaczego warto?

Jakie są korzyści z implementacji normy ISO/IEC 27001? Jest ich wiele, co może odczuć każda organizacja, której działalność wymaga zarządzania poufnymi informacjami. To przede wszystkim:

• lepsza identyfikacja zagrożeń i zmniejszenie ich wpływu na działalność organizacji,
• zapewnienie klientom gwarancji bezpieczeństwa ich danych,
• zachowanie poufności, integralności i dostępności posiadanych informacji,
• stałe podnoszenie jakości świadczonych usług,
• wzrost wiarygodności organizacji i zaufania społecznego,
• zdobycie przewagi konkurencyjnej.

Wdrożenie normy w firmie jest więc z pewnością kwestią godną rozważenia, szczególnie dla branż poruszających się w obszarach teleinformatycznych i zarządzających ogromnymi zasobami danych. Warte rozważnia jest również powołanie administratora bezpieczeństwa, którego zadaniem będzie całościowa koordynacja zagadnień związanych z zapewnieniem bezpieczeństwa.

Szkolenia z SZBI ISO 27001

Kalendarz kursów i szkoleń ISO 27001 umożliwia szybkie znalezienie szkoleń, warsztatów i kursów, które mogą być pomocne zarówno w trakcie wdrżania systemu zarządania bezpieczeństwem informacji, jak też w trakcie jego doskonalenia czy przeprowadzania audytu wewnętrznego SZBI.