Informacje są niezwykle cennym zasobem każdej firmy, mają one wymierną wartość, lecz niestety nieustannie są narażone na liczne zagrożenia, z tego też powodu zagwarantowanie im bezpieczeństwa winno stać się priorytetem w zarządzaniu każdą organizacją.
Czym jest norma ISO/IEC 27001?
Norma PN-EN ISO/IEC 27001:2017-06 (bo tak brzmi pełny numer aktualnie obowiązującej normy) prezentuje model systemu zarządzania bezpieczeństwem informacji, określa również wymagania, konieczne dla:
- ustanowienia,
- wdrożenia,
- eksploatacji,
- monitorowania,
- przeglądu,
- utrzymania,
- doskonalenia tego systemu.
Zarządzanie bezpieczeństwem informacji wiąże się nie tylko z ochroną systemów informatycznych. Ponadto służy ono zapewnieniu bezpieczeństwa:
- danym osobowym,
- informacjom ekonomiczno-finansowym,
- pozostałym informacjom, jakie stanowią tajemnice firmy.
Przystąpienie Polski do Unii Europejskiej spowodowało, iż wiele aktów prawnych zyskało szczególne znaczenie, zaś do najważniejszych z punktu widzenia ochrony danych osobowych zalicza się tzw. ogólne rozporządzenie o ochronie danych osobowych (RODO lub GDPR – general data protection regulation), a dodatkowo w Polsce – ustawa o ochronie danych osobowych. Do zawartych w RODO i ustawie wymagań trzeba dostosować również systemy informatyczne, a także procedury postępowania, jakie znajdują zastosowanie w firmie. Przepisy zobowiązują również do podjęcia wszelkich działań, które zapewniają maksymalną ochronę przetwarzanych informacji.
Korzyści z wdrożenia oraz certyfikacji ISO/IEC 27001
Norma ISO/IEC 27001 określa ramy systemu zarządzania bezpieczeństwem informacji za sprawą zdefiniowania podstawowych wymagań w zakresie m.in.:
- opracowania oraz realizacji polityki bezpieczeństwa informacji,
- prowadzenia przeglądów systemu zarządzania i audytów wewnętrznych,
- identyfikacji oraz klasyfikacji informacji,
- zarządzania ryzykiem oraz postępowania z incydentami,
- weryfikacji skuteczności stosowanych zabezpieczeń,
- opracowania oraz oceny planów ciągłości działania.
Z wdrożenia i certyfikacji ISO/IEC 27001 płyną dla organizacji wymierne korzyści, a do najważniejszych z nich zalicza się:
- spełnienie przez firmę wymagań prawnych w zakresie zabezpieczenia informacji,
- zwiększenie świadomości pracowników,
- lepszą identyfikację zagrożeń oraz zminimalizowanie wpływu owych zagrożeń na działalność firmy,
- dostosowanie do prawnych wymagań systemów informatycznych,
- nieustanną poprawę jakości wykonywanych usług,
- zachowanie poufności oraz integralności i dostępności wszelkich informacji będących w posiadaniu firmy,
- nadzorowanie procesów przetwarzania informacji,
- lepsze zarządzanie czynnikami ryzyka,
- wzrost zaufania klientów do firmy.
Czym jest pozytywna certyfikacja ISO/IEC 27001?
Certyfikat ISO/IEC 27001 stanowi świadectwo, w jakim akredytowana jednostka certyfikacyjna potwierdza, iż wdrożony system jest zgodny z wymogami normy. Certyfikacja stanowi proces wieloetapowy i jednocześnie zwieńczenie wdrożenia i uruchomienia systemu. Jest przeprowadzana na podstawie wyników, jakie zostały uzyskane podczas audytu certyfikacyjnego polegającego na poszukiwaniu dowodów zgodności, który jest prowadzony przez profesjonalnego audytora albo zespół audytowy.
Wdrożenie i certyfikowanie systemu zarządzania informacją na bazie normy ISO/IEC 27001 umożliwia:
- pozyskiwanie kontraktów wśród firm, w jakich bezpieczeństwo informacji stanowi priorytet;
- wzrost wiarygodności firmy oraz zaufania klientów, których dane są przetwarzane przez firmę;
- monitorowanie zgodności z obowiązującymi przepisami prawa oraz ze zobowiązaniami kontraktowymi;
- uzyskanie przewagi nad konkurencją;
- skuteczną identyfikację zagrożeń oraz ocenę podatności, konieczną do ograniczania strat i realizowania biznesowych celów firmy.
Dla kogo certyfikat ISO/IEC 27001?
System zarządzania bezpieczeństwem informacji wdrożony według normy ISO/IEC 27001 może być elementem wszystkich firm, bez względu na branżę, wielkość, czy rodzaj działalności, a także stan prawny. Każda firma, jaka pragnie zagwarantować właściwy poziom zabezpieczenia posiadanych przez siebie informacji oraz danych może wdrożyć i poddać ocenie działający w niej system zarządzania w celu uzyskania certyfikatu na zgodność z wymaganiami normy ISO/IEC 27001. Proces certyfikacji i samo uzyskanie certyfikatu nie jest wymagane prawem, ale może się okazać skutecznym narzędziem do wdrożenia standardów branżowych.
Celem uruchomienia procesu certyfikacji należy przygotować odpowiednie dokumenty, a zatem:
- wniosek o certyfikację;
- podpisaną umowę;
- dokumentację systemu zarządzania bezpieczeństwem informacji, a więc deklarację stosowania, politykę bezpieczeństwa oraz wymagane procedury zintegrowanego systemu bezpieczeństwa.