20 listopada 2012

ISO 27001:2016 – System zarządzania bezpieczeństwem informacji (SZBI)

Informacja, w każdej formie ma zasadnicze znaczenie w podejmowaniu działań, a może nawet dla przetrwania organizacji. Obecny stan rozwoju techniki spowodował, że systemy informatyczne zaczynają wspierać realizację większości procesów biznesowych. Łatwy dostęp do informacji powoduje też niestety szereg zagrożeń. Obok kradzieży danych, dojść może do ich nie zatwierdzonej modyfikacji czy zniszczenia. Należy też pamiętać, że bezpieczeństwo informacji to nie tylko zabezpieczenia informatyczne czy fizyczne. To także odpowiednio przeszkolony i świadomy zagrożeń personel, to odpowiednio zdefiniowane umowy z dostawcami, jak również sformalizowane i przetestowane plany ciągłości działania.

System zarządzania bezpieczeństwem informacji (SZBI) według ISO/IEC 27001 to norma międzynarodowa, która określa wymagania dotyczącego tego systemu, cele stosowania zabezpieczeń oraz zabezpieczenia, które powinny być zastosowane jako część SZBI.

Co obejmuje norma ISO 27001:2016?
Większość firm posiada zabezpieczenia w zakresie ochrony informacji, ale bez SZBI często bywają chaotyczne ponieważ są wprowadzane jako konkretne rozwiązanie do danego problemu i dotyczą tylko niektórych aspektów IT, nie uwzględniając aktyw które nie są w formie IT ( jak np. dokumentacja, wiedza kluczowych osób itd).

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy, definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi auditami SZBI, przeglądami oraz ciągłym doskonaleniem. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.

W załączniku A normy ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka:

  • polityka bezpieczeństwa,
  • organizacja bezpieczeństwa informacji,
  • zarządzanie aktywami,
  • bezpieczeństwo zasobów ludzkich,
  • bezpieczeństwo fizyczne i środowiskowe,
  • zarządzanie systemami i sieciami,
  • kontrola dostęp,
  • zarządzanie ciągłością działania,
  • pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • zgodność z wymaganiami prawnymi i własnymi standardami.

Korzyści związane z posiadaniem certyfikowanego systemu zarządzania bezpieczeństwem informacji wg ISO 27001 to:

  1. Zmniejszenie ryzyka biznesowego poprzez ograniczenie ryzyka utraty bezpieczeństwa.
  2. Podniesienie wiarygodności organizacji i zapewnienie, że powierzone informacje są w odpowiedni sposób chronione.
  3. Pozyskanie nowych rynków i klientów. Podobnie jak certyfikat ISO 9001:2008, ISO 27001 otwiera drogę do klientów o nieprzeciętnych wymaganiach, dla których spełnienie określonych norm jest podstawowym warunkiem do rozpoczęcia współpracy.
  4. Zapewnienie, że spełnione są wymogi prawne, do których przestrzegania zobowiązana jest organizacja.
  5. Zarządzanie bezpieczeństwem informacji odbywa się w sposób sformalizowany, przewidywalny.
  6. Zwiększenie zaufania – nasi auditorzy mają odpowiednią wiedzę i kwalifikacje z zakresu bezpieczeństwa informacji oraz innych aspektów związanych z informatyką, dlatego ich obiektywna ocena może pomóc zwiększyć zaufanie do własnego systemu bezpieczeństwa, jako do najlepszej stosowanej praktyki w przemyśle.
  7. Ciągły nadzór – audity nadzorcze pozwalają potwierdzić, że system zarządzania bezpieczeństwem informacji jest właściwie utrzymywany i zgodny z wymaganiami.

PROWADZIMY SZKOLENIA I CERTYFIKACJĘ według normy ISO 27001:2016.

Aktualności