Informacje są niezwykle cennym zasobem każdej firmy, mają one wymierną wartość, lecz niestety nieustannie są narażone na liczne zagrożenia, z tego też powodu zagwarantowanie im bezpieczeństwa winno stać się priorytetem w zarządzaniu każdą organizacją.

Czym jest norma ISO/IEC 27001?

Norma PN-EN ISO/IEC 27001:2017-06 (bo tak brzmi pełny numer aktualnie obowiązującej normy) prezentuje model systemu zarządzania bezpieczeństwem informacji, określa również wymagania, konieczne dla:

 •         ustanowienia,
 •         wdrożenia,
 •         eksploatacji,
 •         monitorowania,
 •         przeglądu,
 •         utrzymania,
 •         doskonalenia tego systemu.

Zarządzanie bezpieczeństwem informacji wiąże się nie tylko z ochroną systemów informatycznych. Ponadto służy ono zapewnieniu bezpieczeństwa:

 •         danym osobowym,
 •         informacjom ekonomiczno-finansowym,
 •         pozostałym informacjom, jakie stanowią tajemnice firmy.

Przystąpienie Polski do Unii Europejskiej spowodowało, iż wiele aktów prawnych zyskało szczególne znaczenie, zaś do najważniejszych z punktu widzenia ochrony danych osobowych zalicza się tzw. ogólne rozporządzenie o ochronie danych osobowych (RODO lub GDPR – general data protection regulation), a dodatkowo w Polsce –  ustawa o ochronie danych osobowych. Do zawartych w RODO i ustawie wymagań trzeba dostosować również systemy informatyczne, a także procedury postępowania, jakie znajdują zastosowanie w firmie. Przepisy zobowiązują również do podjęcia wszelkich działań, które zapewniają maksymalną ochronę przetwarzanych informacji.

Korzyści z wdrożenia oraz certyfikacji ISO/IEC 27001

Norma ISO/IEC 27001 określa ramy systemu zarządzania bezpieczeństwem informacji za sprawą zdefiniowania podstawowych wymagań w zakresie m.in.:

 • opracowania oraz realizacji polityki bezpieczeństwa informacji,
 • prowadzenia przeglądów systemu zarządzania i audytów wewnętrznych,
 • identyfikacji oraz klasyfikacji informacji,
 • zarządzania ryzykiem oraz postępowania z incydentami,
 • weryfikacji skuteczności stosowanych zabezpieczeń,
 • opracowania oraz oceny planów ciągłości działania.

Z wdrożenia i certyfikacji ISO/IEC 27001 płyną dla organizacji wymierne korzyści, a do najważniejszych z nich zalicza się:

 • spełnienie przez firmę wymagań prawnych w zakresie zabezpieczenia informacji,
 • zwiększenie świadomości pracowników,
 • lepszą identyfikację zagrożeń oraz zminimalizowanie wpływu owych zagrożeń na działalność firmy,
 • dostosowanie do prawnych wymagań systemów informatycznych,
 • nieustanną poprawę jakości wykonywanych usług,
 •  zachowanie poufności oraz integralności i dostępności wszelkich informacji będących w posiadaniu firmy,
 • nadzorowanie procesów przetwarzania informacji,
 • lepsze zarządzanie czynnikami ryzyka,
 • wzrost zaufania klientów do firmy.

Czym jest pozytywna certyfikacja ISO/IEC 27001?

Certyfikat ISO/IEC 27001 stanowi świadectwo, w jakim akredytowana jednostka certyfikacyjna potwierdza, iż wdrożony system jest zgodny z wymogami normy. Certyfikacja stanowi proces wieloetapowy i jednocześnie zwieńczenie wdrożenia i uruchomienia systemu. Jest przeprowadzana na podstawie wyników, jakie zostały uzyskane podczas audytu certyfikacyjnego polegającego na poszukiwaniu dowodów zgodności, który jest prowadzony przez profesjonalnego audytora albo zespół audytowy.

Wdrożenie i certyfikowanie systemu zarządzania informacją na bazie normy ISO/IEC 27001 umożliwia:

 • pozyskiwanie kontraktów wśród firm, w jakich bezpieczeństwo informacji stanowi priorytet;
 • wzrost wiarygodności firmy oraz zaufania klientów, których dane są przetwarzane przez firmę;
 • monitorowanie zgodności z obowiązującymi przepisami prawa oraz ze zobowiązaniami kontraktowymi;
 • uzyskanie przewagi nad konkurencją;
 • skuteczną identyfikację zagrożeń oraz ocenę podatności, konieczną do ograniczania strat i realizowania biznesowych celów firmy.

Dla kogo certyfikat ISO/IEC 27001?

System zarządzania bezpieczeństwem informacji wdrożony według normy ISO/IEC 27001 może być elementem wszystkich firm, bez względu na branżę, wielkość, czy rodzaj działalności, a także stan prawny. Każda firma, jaka pragnie zagwarantować właściwy poziom zabezpieczenia posiadanych przez siebie informacji oraz danych może wdrożyć i poddać ocenie działający w niej system zarządzania w celu uzyskania certyfikatu na zgodność z wymaganiami normy ISO/IEC 27001. Proces certyfikacji i samo uzyskanie certyfikatu nie jest wymagane prawem, ale może się okazać skutecznym narzędziem do wdrożenia standardów branżowych. 

Celem uruchomienia procesu certyfikacji należy przygotować odpowiednie dokumenty, a zatem:

 • wniosek o certyfikację;
 • podpisaną umowę;
 • dokumentację systemu zarządzania bezpieczeństwem informacji, a więc deklarację stosowania, politykę bezpieczeństwa oraz wymagane procedury zintegrowanego systemu bezpieczeństwa.

Źródło: ISecure – eksperci w ochronie danych osobowych