Skip to content

ISO 27001

Norma ISO 27001 zawiera wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI). System ten w swojej budowie i działaniu jest zbliżony do Systemu Zarządzania Jakością według normy ISO 9001.

Obszar

CERTYFIKACJA SYSTEMÓW

Czego dotyczy ISO 27001?

Norma ISO 27001 zawiera wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI). System ten w swojej budowie i działaniu jest zbliżony do Systemu Zarządzania Jakością według normy ISO 9001. Dziesiątki tysięcy firm, które wdrożyły system ISO 9001 gwarantują, że model ten jest realnie działającym i efektywnym narzędziem do zarządzania w organizacji.

Dzięki takiemu podejściu audit Bezpieczeństwa Informacji jest uniwersalny i niezależny od charakteru i wielkości organizacji gdzie może być wdrożony. Co więcej ma on obejmować wszystkie informacje, których bezpieczeństwem należy zarządzać. Niekiedy błędnie utożsamia się bezpieczeństwo informacji z informatyką. Jest to niesłuszne podejście.

Zarówno papier jak i słowo mówione muszą być tak samo dobrze chronione jak zapis elektroniczny, właśnie dlatego, że są nośnikiem bardzo ważnej informacji. Dzisiaj efektywne zarządzanie bezpieczeństwem informacji to problem z którym boryka się każda organizacja.

Jakie są korzyści z certyfikacji 27001?

  • Certyfikat uzyskany od niezależnej organizacji jaką jest nasza jednostka certyfikująca jest potwierdzeniem, że certyfikowana organizacja efektywnie wdrożyła i utrzymuje System Zarządzania Bezpieczeństwem Informacji.
  • Podnosi wiarygodność organizacji i daje zapewnienie, że powierzone, przetwarzane informacje są w odpowiedni sposób chronione.
  • Pozyskanie nowych rynków i klientów. Podobnie jak certyfikat ISO 9001, ISO 27001 otwiera drogę do klientów o nieprzeciętnych wymaganiach, dla których spełnienie określonych norm jest podstawowym warunkiem do rozpoczęcia współpracy.
  • Zapewnienie, że spełnione są wymogi prawne, do których przestrzegania zobowiązana jest organizacja.
  • Zarządzanie bezpieczeństwem informacji odbywa się w sposób sformalizowany, przewidywalny.
  • Pracownicy, partnerzy wiedzą kto za co odpowiada i jak mają postępować w zakresie ochrony informacji, z którą mają do czynienia. Jasno określone są odpowiedzialność, procedury, podejmowane działania. Sam proces zarządzania zawiera mechanizmy kontroli, oceny i doskonalenia funkcjonowania.
  • Certyfikat uzyskany od niezależnej organizacji jaką jest nasza jednostka certyfikująca jest potwierdzeniem, że certyfikowana organizacja efektywnie wdrożyła i utrzymuje System Zarządzania Bezpieczeństwem Informacji.

Jakie są wymagania biznesowe?

■ Nie istnieje dzisiaj żadna działalność człowieka, która nie opierałaby się na wymianie informacji. Do wytworzenia czy przetworzenia dowolnego produktu oprócz materiałów i narzędzi konieczna jest również informacja czy to w postaci wiedzy jak to zrobić czy jak to np sprzedać, kiedy i komu. Najczęściej to ta właśnie informacja jest kluczem do tego by coś wyprodukować, przetworzyć i sprzedać z zyskiem.

■ W naszej rzeczywistości ochrona informacji w organizacji to fundamentalna potrzeba niemal tak jak dostarczenie energii elektrycznej do budynku firmy. Zakłócenie "poziomu bezpieczeństwa" informacji w prostej drodze prowadzi do wymiernych strat finansowych, zakłóceń w funkcjonowaniu organizacji lub co gorsza do strat "niewymiernych" takich jak utrata dobrego imienia czy pozycji. Często pozyskanie lub ujawnienie informacji może stanowić o "być albo nie być" firmy.

■ Zarządzanie bezpieczeństwem to nie tylko problem wewnętrzny firmy. To także bardzo często problem partnerów w biznesie. Każdy jest odbiorcą i dostawcą informacji i każdy chce zapewnienia, że proces wzajemnej wymiany informacji będzie się odbywał zgodnie z ustaleniami oraz, że będzie kontrolowany. To problem z którym coraz częściej spotykają się kooperanci. Firmy świadomie zarządzające informacją i jej bezpieczeństwem poszukują partnerów stojących na podobnym poziomie rozwoju. To naturalny proces znany z systemów zarządzania jakością. Eliminuje on z rynku tych, którzy pozostali w tyle i nie wprowadzili zarządzania informacją i jej bezpieczeństwem. Model zawarty w normie pozwala efektywnie zarządzać wieloma aspektami przetwarzania informacji w firmie. Dobrze zaprojektowany i wdrożony system po prostu usprawnia pracę porządkując proces przetwarzania informacji w firmie. To również jest istotny argument za wdrożeniem systemu zarządzania.

Jakie są wymagania prawne?

To chyba najsilniejszy i bezdyskusyjny argument za wprowadzeniem Systemu Zarządzania Bezpieczeństwem Informacji. Szereg przepisów, aktów prawnych wymaga bezwzględnie ochrony pewnych informacji.

W naszym kraju obowiązuje co najmniej kilkanaście aktów prawnych związanych z ochroną pewnych informacji, do których musi się stosować każda nawet mała firma (np rachunkowość, dane osobowe). Brak takiej ochrony może skutkować ciężkimi sankcjami finansowymi, karnymi czy to w stosunku do organizacji czy do osób odpowiedzialnych i może doprowadzić nawet do zamknięcia działalności.

Kontakt

Sekcja ofertowania TUV NORD Polska

TÜV NORD Polska