Norma ISO 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji, czyli zbioru polityk, procedur, wytycznych oraz przydzielonych zasobów i aktywności, zarządzanych wspólnie przez organizację w celu ochrony swoich zasobów informacyjnych.
Norma określa wymagania dla ustanowienia, wdrożenia, utrzymania oraz ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Zawiera ponadto szczegółowe wytyczne odnoszące się do szacowania i postępowania w obliczu ryzyka związanego z bezpieczeństwem informacji. Zgodnie z normą ISO 27001, na bezpieczeństwo informacji mają wpływ:
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- zarządzanie aktywami,
- bezpieczeństwo zasobów ludzkich,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami teleinformatycznymi,
- pozyskiwanie, rozwój i utrzymanie systemów teleinformatycznych,
- zarządzanie ciągłością działania,
- kontrola dostępu,
- zarządzanie incydentami związanymi z bezpieczeństwem informacji,
- zgodność z wymaganiami prawnymi oraz własnymi standardami.
Korzyści wprowadzenia normy ISO 27001
Do najważniejszych korzyści wdrożenia ISO 27001 można zaliczyć:
- uzyskanie odpowiedniego poziomu ochrony aktywów informacyjnych,
- zachowanie prywatności i integralności zgromadzonych danych,
- wzrost świadomości pracowników na temat zagrożeń i konieczności odpowiednich zabezpieczeń,
- zwiększenie odporności jednostki organizacyjnej na incydenty,
- nabycie umiejętności koniecznych do sprawowania skutecznego nadzoru nad procesami przetwarzania informacji,
- zdefiniowanie w jednostce organizacyjnej ról i obowiązków w procesie przetwarzania informacji,
- spełnienie wymagań prawnych wobec jednostek organizacyjnych,
- uniknięcie strat finansowych wynikających z otrzymania kar związanych z naruszeniem bezpieczeństwa informacji,
- spełnienie oczekiwań klientów i partnerów biznesowych.
Wprowadzenie normy ISO 27001 pomaga jednostkom organizacyjnym ustanowić politykę i cele zarządzania bezpieczeństwem informacji. Pozwala im również zrozumieć, jak w najlepszy sposób zarządzać istotnymi aspektami, wdrażać niezbędne kontrole i poprawiać istniejące systemy zabezpieczeń. Wprowadzenie tej normy ułatwia także uzyskanie zgodności wykorzystywanych rozwiązań z obowiązującymi wymogami prawnymi, takimi jak General Data Protection Regulation (GDPR) oraz ciągłe monitorowanie stanu tej zgodności, co pomaga doskonalić system i eliminować występujące uchybienia.
Wprowadzając normę ISO 27001, jednostka organizacyjna otrzymuje narzędzia do ochrony informacji w formie papierowej i cyfrowej, a także aktywów fizycznych, takich jak komputery i sieci, oraz wiedzy zatrudnianych pracowników. Istotnym efektem wdrożenia tej normy jest również podniesienie jakości usług oraz zwiększenie wiarygodności, przekładające się na wzrost zaufania wśród klientów. Firmy, które skutecznie wprowadziły normę ISO 27001, jawią się jako bardziej profesjonalne i wzmacniają swoją pozycję na rynku.
Proces wdrażania normy ISO 27001
Proces wdrażania normy ISO 27001 powinien przebiegać etapami. W pierwszej kolejności konieczne jest przeprowadzenie audytu wstępnego, w trakcie którego zespół odpowiedzialny za stworzenie systemu zarządzania bezpieczeństwem informacji sprawdza stopień spełniania norm przez dotychczas stosowane rozwiązania. Następnie należy:
- przeprowadzić inwentaryzację i analizę aktywów,
- wyznaczyć odpowiedni poziom bezpieczeństwa informacji,
- przeprowadzić analizę ryzyka,
- opracować system zabezpieczeń,
- opracować i wdrożyć dokumentację systemu zarządzania bezpieczeństwem informacji właściwą dla danej jednostki organizacyjnej,
- przeprowadzić szkolenie pracowników w zakresie systemu zarządzania bezpieczeństwem informacji,
- przeprowadzić szkolenie dla audytorów wewnętrznych w zakresie systemu zarządzania bezpieczeństwem informacji,
- przeprowadzić audyt przedwdrożeniowy, oceniający zgodność podjętych działań i zabezpieczeń z normą ISO 27001,
- przygotować jednostkę organizacyjną do ostatecznego audytu certyfikującego.
Certyfikacja zgodności z normą ISO 27001
W celu uzyskania certyfikatu potwierdzającego zgodność z normą ISO 27001, jednostka organizacyjna jest zobowiązana zaprosić akredytowaną jednostkę certyfikującą do przeprowadzenia stosownego audytu. Audyt przebiega w dwóch etapach. W ramach etapu pierwszego wykonane zostaną:
- przegląd dokumentacji ISO 27001,
- wstępne i ogólne sprawdzenie systemu organizacji z wymaganiami normy,
- wizja lokalna procesów, infrastruktury oraz organizacji systemu.
W sytuacji stwierdzenia uchybień na pierwszym etapie audytu, jednostka organizacyjna ma czas na podjęcie działań korygujących. Na drugim etapie audytorzy ocenią:
- sposób wdrożenia wymaganych procedur,
- sposób zastosowania narzędzi kontroli,
- zgodność procedur i narzędzi kontroli z wymogami certyfikacji.
Potwierdzenie zgodności systemu zabezpieczeń z normą ISO 27001 przed audytora wiąże się z przyznaniem jednostce organizacyjnej certyfikatu ISO 27001 stanowiącego poświadczenie tej zgodności. Certyfikat zachowuje ważność przez trzy lata od jego wystawienia.