Dla współczesnych organizacji, informacja stanowi niezwykle istotną wartość. Do poprawnego funkcjonowania organizacji, niezbędne jest posiadanie i przetwarzanie danych dotyczących firmy, jej wyrobów czy usług, stosowanych strategii biznesowych, czy klientów. Postęp technologii informatycznych zwiększył możliwości przechowywania i wymiany informacji, ale jednocześnie przyczynił się do wzrostu zagrożeń dla bezpieczeństwa informacji. Problem z odpowiednim zabezpieczeniem istotnych informacji często nie jest kwestią braku rozwiązań technologicznych, tylko raczej wynika z nieświadomości pracowników oraz niewłaściwego zarządzania informacjami.
Zapoznaj się z pełną ofertą z zakresu certyfikacji ISO/ IEC 27001
Korzyści z certyfikacji ISO/ IEC 27001
Zwiększona konkurencyjność na rynku
Zwiększona wiarygodność firmy
Zwiększenie bezpieczeństwa ważnych zasobów firmy
Dowód na spełnienie wymagań prawnych dotyczących bezpieczeństwa informacji
Zwiększone zaufanie klientów dzięki zapewnieniu, że powierzone informacje są bezpieczne
Dlaczego warto ubiegać się o certyfikat ISO/ IEC 27001?
W odpowiedzi na wzrastające potrzeby ochrony danych powstała norma ISO/ IEC 27001: 2013, która jest pierwszą normą międzynarodową wyznaczającą wymagania dla stworzenia uporządkowanego systemu zarządzania bezpieczeństwem informacji. Norma ta nie narzuca jednolitych zabezpieczeń, a jedynie podaje wytyczne, które pomagają organizacji określić swoje potrzeby w zakresie bezpieczeństwa informacji, oraz ułatwiają wdrożenie odpowiednich zabezpieczeń, dostosowanych do indywidualnych wymagań. Warto zauważyć, że w normie jest mowa o informacji przechowywanej i wymienianej na wszelkie sposoby. Norma nie koncentruje się tylko na informacji cyfrowej.
Wymagania systemu ISO/ IEC 27001
System zgodny z wymaganiami ISO/ IEC 27001 polega głównie na wdrożeniu odpowiednich procedur, polityki czy procesów mających zapewnić bezpieczeństwo przechowywanych i przetwarzanych informacji. Norma ISO/ IEC 27001 jest oparta na założeniu ciągłego doskonalenia, będącego podstawą większości popularnych norm ISO.
Podobnie jak normy innych systemów zarządzania, ISO/ IEC 27001 wymaga planowania systemu, wdrażania odpowiednich działań, sprawdzenia ich skuteczności oraz doskonalenia systemu. W ramach tego znanego cyklu P-D-C-A, System Zarządzania Bezpieczeństwem Informacji (SZBI) wprowadza kilka elementów, właściwych tylko dla zarządzania bezpieczeństwem informacji. Jednym z nich jest konieczność przeprowadzenia inwentaryzacji wszystkich zasobów informacyjnych oraz sporządzenie wykazu aktywów dostępnych w organizacji. Do aktywów należą na przykład: wzory dokumentów, archiwa, programy, komputery a także zasoby ludzkie. Kolejnym elementem systemu zarządzania bezpieczeństwem informacji jest klasyfikacja informacji. Każda informacja przetwarzana lub przechowywana przez organizację powinna zostać przypisana do określonej grupy.
Główne grupy informacji to:
- informacje poufne
- informacje do użytku wewnętrznego
- informacje publiczne
Poza klasyfikacją, należy również określić sposób postępowania z informacją. Przez postępowanie z informacją należy rozumieć między innymi sposób oznaczania, dystrybucji oraz archiwizacji i usuwania informacji. Poprawna klasyfikacja i określenie metod zarządzania informacjami umożliwi prawidłowy nadzór nad informacjami, tym samym ułatwiając zabezpieczenie ich przed niewłaściwym użyciem czy utratą.
Dla kogo przeznaczony jest system ISO/ IEC 27001?
Norma ISO/ IEC 27001: 2013 jest uniwersalna, dlatego można zastosować ją w każdej organizacji, dla której informacja stanowi istotną wartość. Do takich organizacji mogą należeć jednostki administracji publicznej, służba zdrowia, banki i wszelkie inne przedsiębiorstwa usługowe, czy produkcyjne, które przechowują czy przetwarzają istotne informacje.
Sprawnie funkcjonujący system zarządzania bezpieczeństwem informacji powinien umożliwić spełnienie trzech podstawowych atrybutów ochrony danych:
Dostępność
Zapewnienie dostępu do informacji wszystkim uprawnionym użytkownikom, wedle ich potrzeb.
Integralność
Dane nie mogą zostać modyfikowane, dodawane lub usuwane w niekontrolowany sposób, przez nieupoważnioną osobę.
Poufność
Ograniczenie dostępu do informacji tylko do tych użytkowników, którzy są do tego uprawnieni.