Norma ISO 27001

Czego dotyczy ISO 27001?

Norma ISO 27001 zawiera wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI). System ten w swojej budowie i działaniu jest zbliżony do Systemu Zarządzania Jakością według normy ISO 9001. Dziesiątki tysięcy firm, które wdrożyły system ISO 9001 gwarantują, że model ten jest realnie działającym i efektywnym narzędziem do zarządzania w organizacji.

Dzięki takiemu podejściu audit Bezpieczeństwa Informacji jest uniwersalny i niezależny od charakteru i wielkości organizacji gdzie może być wdrożony. Co więcej ma on obejmować wszystkie informacje, których bezpieczeństwem należy zarządzać. Niekiedy błędnie utożsamia się bezpieczeństwo informacji z informatyką. Jest to niesłuszne podejście.

Zarówno papier jak i słowo mówione muszą być tak samo dobrze chronione jak zapis elektroniczny, właśnie dlatego, że są nośnikiem bardzo ważnej informacji. Dzisiaj efektywne zarządzanie bezpieczeństwem informacji to problem z którym boryka się każda organizacja.

Najczęściej zadawane pytania

Jakie są korzyści z certyfikacji 27001?
  • Certyfikat uzyskany od niezależnej organizacji jaką jest nasza jednostka certyfikująca jest potwierdzeniem, że certyfikowana organizacja efektywnie wdrożyła i utrzymuje System Zarządzania Bezpieczeństwem Informacji.
  • Podnosi wiarygodność organizacji i daje zapewnienie, że powierzone, przetwarzane informacje są w odpowiedni sposób chronione.
  • Pozyskanie nowych rynków i klientów. Podobnie jak certyfikat ISO 9001, ISO 27001 otwiera drogę do klientów o nieprzeciętnych wymaganiach, dla których spełnienie określonych norm jest podstawowym warunkiem do rozpoczęcia współpracy.
  • Zapewnienie, że spełnione są wymogi prawne, do których przestrzegania zobowiązana jest organizacja.
  • Zarządzanie bezpieczeństwem informacji odbywa się w sposób sformalizowany, przewidywalny.
  • Pracownicy, partnerzy wiedzą kto za co odpowiada i jak mają postępować w zakresie ochrony informacji, z którą mają do czynienia. Jasno określone są odpowiedzialność, procedury, podejmowane działania. Sam proces zarządzania zawiera mechanizmy kontroli, oceny i doskonalenia funkcjonowania.
  • Certyfikat uzyskany od niezależnej organizacji jaką jest nasza jednostka certyfikująca jest potwierdzeniem, że certyfikowana organizacja efektywnie wdrożyła i utrzymuje System Zarządzania Bezpieczeństwem Informacji.
Jakie są wymagania prawne?

To chyba najsilniejszy i bezdyskusyjny argument za wprowadzeniem Systemu Zarządzania Bezpieczeństwem Informacji. Szereg przepisów, aktów prawnych wymaga bezwzględnie ochrony pewnych informacji.

W naszym kraju obowiązuje co najmniej kilkanaście aktów prawnych związanych z ochroną pewnych informacji, do których musi się stosować każda nawet mała firma (np rachunkowość, dane osobowe). Brak takiej ochrony może skutkować ciężkimi sankcjami finansowymi, karnymi czy to w stosunku do organizacji czy do osób odpowiedzialnych i może doprowadzić nawet do zamknięcia działalności.

 

Jakie są wymagania biznesowe?
  • Nie istnieje dzisiaj żadna działalność człowieka, która nie opierałaby się na wymianie informacji. Do wytworzenia czy przetworzenia dowolnego produktu oprócz materiałów i narzędzi konieczna jest również informacja czy to w postaci wiedzy jak to zrobić czy jak to np sprzedać, kiedy i komu. Najczęściej to ta właśnie informacja jest kluczem do tego by coś wyprodukować, przetworzyć i sprzedać z zyskiem.
  • W naszej rzeczywistości ochrona informacji w organizacji to fundamentalna potrzeba niemal tak jak dostarczenie energii elektrycznej do budynku firmy. Zakłócenie "poziomu bezpieczeństwa" informacji w prostej drodze prowadzi do wymiernych strat finansowych, zakłóceń w funkcjonowaniu organizacji lub co gorsza do strat "niewymiernych" takich jak utrata dobrego imienia czy pozycji. Często pozyskanie lub ujawnienie informacji może stanowić o "być albo nie być" firmy.
  • Zarządzanie bezpieczeństwem to nie tylko problem wewnętrzny firmy. To także bardzo często problem partnerów w biznesie. Każdy jest odbiorcą i dostawcą informacji i każdy chce zapewnienia, że proces wzajemnej wymiany informacji będzie się odbywał zgodnie z ustaleniami oraz, że będzie kontrolowany. To problem z którym coraz częściej spotykają się kooperanci. Firmy świadomie zarządzające informacją i jej bezpieczeństwem poszukują partnerów stojących na podobnym poziomie rozwoju. To naturalny proces znany z systemów zarządzania jakością. Eliminuje on z rynku tych, którzy pozostali w tyle i nie wprowadzili zarządzania informacją i jej bezpieczeństwem. Model zawarty w normie pozwala efektywnie zarządzać wieloma aspektami przetwarzania informacji w firmie. Dobrze zaprojektowany i wdrożony system po prostu usprawnia pracę porządkując proces przetwarzania informacji w firmie. To również jest istotny argument za wdrożeniem systemu zarządzania.

 

Cele zrównoważonego rozwoju

Zapraszam serdecznie do kontaktu

Przemysław SzczurekSenior Manager ds. Bezpieczeństwa Informacji

Tel.: +48 605 594 996
p.szczurek@tuv-nord.pl