ISO 27001 Bezpieczeństwo informacji


Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.

W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.

OD BEZPIECZEŃSTWA DO NORMY

Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Dyrektywy związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:

  1. poufność,
  2. integralność,
  3. dostępność.

W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.

Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.

SPOSÓB WDROŻENIA

Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.

Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.

Trzeba pamiętać, że analiza (pod katem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.

Jednocześnie kierownictwo może świadomie określić:

  1. Politykę bezpieczeństwa informacji zgodną z ISO 27001,
  2. Podział odpowiedzialności związanych z bezpieczeństwem informacji,
  3. Niezbędne szkolenia w dziedzinie bezpieczeństwa informacji,
  4. Zasady zgłaszania przypadków naruszenia bezpieczeństwa,
  5. Zasady zarządzania ciągłością działania firmy.

KORZYŚCI

Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich:

  • minimalizacja ryzyka związanego z utratą danych (także wskutek ich kradzieży);
  • znaczące podniesienie prestiżu przedsiębiorstwa – zarówno Klienci, jak i Kontrahenci z pewnością docenią dbałość o zachowanie jak najwyższych standardów bezpieczeństwa danych;
  • gwarancja zgodności realizowanych strategii z wymogami prawnymi;
  • możliwość podjęcia natychmiastowych reakcji w przypadku wykrycia jakichkolwiek zmian bądź nieprawidłowości.
Jeśli jesteś zainteresowany wdrożeniem systemu zarządzania, wyślij do nas swoje pytanie, a nasi konsultanci bezpłatnie przygotują dla Ciebie ofertę!