ISO 27001 a bezpieczeństwo informacji

Ochrona informacji

Certyfikat ISO 27001 – jeden z najbardziej rozpoznawalnych certyfikatów zarówno wśród firm małych, jak i dużych, bez względu na branżę, to dziś jeden z najlepszych sposobów potwierdzenia sprawności systemu zarządzania bezpieczeństwem informacji w firmie.

Norma ISO 27001 określająca najlepsze praktyki odnośnie kwestii zarządzania bezpieczeństwem informacji w dowolnej organizacji to zbiór zaleceń i standardów, które częściowo pokrywają się z krajowymi i międzynarodowymi prawami dotyczącymi bezpieczeństwa informacji. Jednocześnie jest ona czymś znacznie więcej, ponieważ swoimi zapisami określa procesowe podejście do całego procesu ustanawiania, wdrażania, prowadzenia, monitorowania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji.

Jak certyfikacja ISO 27001 wpływa na zapewnienie bezpieczeństwa informacji w firmie i jak przygotować organizację do wprowadzenia zupełnie nowego systemu zarządzania bez naruszania jej integralności?

Założenia normy ISO 27001

Jedną z podstawowych cech charakterystycznych dla wielu norm ISO jest stosowany przez ISO 27001 model procesowy PDCA, tłumaczony z angielskiego Plan, Do, Check, Act jako Planuj, Wykonaj, Sprawdź, działaj.

Model ten mówi niezwykle dużo na temat założeń normy ISO 27001, według której stosowanie usystematyzowanego, spójnego systemu zarządzania bezpieczeństwem informacji nie jest jednorazowym działaniem polegającym na wdrożeniu systemu w strukturę działania firmy, a ciągiem uzupełniających się wzajemnie zdarzeń mających na celu zapewnienie płynności funkcjonowania organizacji.

Norma ISO 27001 określa wszechstronne metody zapewniania bezpieczeństwa informacji, którymi dysponuje firma. Informacją określa się w tym kontekście wszelkie aktywa cyfrowe, fizyczne (w tym komputery i sieci), dokumenty w formie papierowej, oraz wiedzę, którą dysponują poszczególni pracownicy firmy.

Jednymi z zagadnień poruszanych podczas szkoleń ISO 27001 oraz rozmów na etapie planowania nowego systemu zarządzania bezpieczeństwem informacji są kwestie związane z rozwijaniem kompetencji personelu, a także kwestie zabezpieczeń technicznych przed nadużyciami komputerowymi, które mogą prowadzić do wycieku danych i tym samym narażenia firmy na konsekwencje prawne.

ISO 27001 to sposób na zapewnienie firmie stabilizacji w trzech podstawowych obszarach obejmujących bezpieczeństwo informacji. Wśród nich wyróżniamy poufność, gdyż z założenia norma ISO 27001 nakazuje zapewnienie dostępu do informacji wyłącznie osobom do nich uprawnionym, integralność, gdyż ISO 27001 zapewnia dokładność i kompletność informacji oraz metod ich przetwarzania, oraz dostępność, gdyż uprawnieni użytkownicy mają dostęp do informacji zawsze wtedy, gdy jest to wymagane.

Certyfikat ISO 27001

Jedną z integralnych części procesu wdrażania systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO oraz późniejszego działania w zgodzie z ustaleniami systemu jest prowadzenie regularnych audytów wewnętrznych mających na celu sprawdzenie zgodności działań z normą. Audyty wewnętrzne są przeprowadzane przez wyznaczoną w tym celu osobę posiadającą certyfikat audytora wewnętrznego ISO 27001.

Audytów wewnętrznych nie należy traktować jako kontroli mających na celu pozbawienie firmy certyfikatu, a raczej jako działania prowadzące do wykrycia błędów i ich naprawienia. Znajdowanie błędów przez audytorów jest przez firmy często widziane negatywnie, jednak warto pamiętać że regularny monitoring stanu systemu zarządzania i ciągłe doskonalenie jego pracy to jeden z głównych elementów normy ISO 27001, a zatem kwestia która sama w sobie absolutnie nie jest błędem łamiącym zasady certyfikatu.

Szkolenia ISO 27001

Szkolenia z zakresu normy i certyfikatu ISO 27001 są integralną częścią procesu wdrażania nowego systemu zarządzania bezpieczeństwem informacji zgodnego z międzynarodowymi standardami ISO. Aby proces wdrożenia systemu mógł przebiegać sprawnie, a sam system działał w zgodzie z założeniami ISO i przynosił wymierne rezultaty konieczne jest zaangażowanie wszystkich jednostek mających swój udział w działalności firmy.

Szkolenie ISO 27001 powinno zatem objąć wszystkich pracowników zatrudnionych w firmie, niezależnie od ich pozycji zajmowanej w hierarchii organizacji. Szkolenia z zakresu nowego systemu zarządzania przeprowadzane są zwykle zarówno w trybie ogólnym, dotyczącym wszystkich pracowników (szkolenia z zakresu standardów ISO, celu wprowadzenia nowego systemu zarządzania czy korzyści płynących z certyfikacji), jak i w trybie indywidualnym z poszczególnymi pracownikami, którzy będą musieli stosować się do nowych zasad pracy na stanowisku zgodnie ze zmianami wprowadzonymi w ramach implementacji ISO.


Zdjęcie: Flickr.com/Blogtrepreneur ©