Norma ISO 27001 to międzynarodowy standard systemu zarządzania bezpieczeństwem informacji, opracowany przez Międzynarodową Organizację Normalizacyjną (International Organization for Standarization).

System zarządzania według normy ISO 27001 jest narzędziem umożliwiającym każdej organizacji, niezależnie od jej wielkości i rodzaju, poprawę poziomu bezpieczeństwa informacji, poprzez ciągłe doskonalenie metod i sposobów działania. Ma szczególne zastosowanie w organizacjach, w których przetwarzane są dane wrażliwe lub dane o wysokiej wartości, na przykład w sektorze finansów, opieki medycznej, administracji publicznej, automotive i branży IT.

Norma została skonstruowana uniwersalnie, dlatego nie zawiera konkretnych wskaźników, czy celów. Jej istotę stanowią wymagania dotyczące systemu zarządzania funkcjonującego w organizacji. Wymagania te pozwalają na wdrożenie systemu zarządzania bezpieczeństwem informacji zarówno w przedsiębiorstwach produkcyjnych, usługowych, jak i w administracji publicznej. Niezależnie od ich wielkości, formy prawnej, czy celu działania.

Korzyści dla Twojej firmy

ISO 27001 jest standardem powszechnie rozpoznawalnym i obecnie wiele firm przystępujących do przetargów lub otrzymujących zapytania ofertowe od znaczących klientów spotyka się z wymaganiem posiadania certyfikatu. Szczególnie w obszarach narażonych na cyberatak lub inne formy wycieku cennych danych.

Informacje będące w posiadaniu organizacji mają wielką wartość i mogą być podatne na zagrożenia, takie jak kradzież, zniszczenie, fałszowanie, wirusy komputerowe, oprogramowania szpiegujące, czy włamania.

Wdrażając system zarządzania bezpieczeństwem informacji wg. ISO 27001 Twoja firma uzyska narzędzie wspomagające:

  • Minimalizowanie ryzyka utraty danych, lub innych incydentów związanych z przechowywanymi danymi.
  • Wzrost zaufania do Twojej organizacji.
  • Zgodność z prawem w zakresie zarządzania powierzonymi danymi.
  • Przewidywalność, wynikającą z usystematyzowanego podejścia do zarządzania obiegiem informacji,
  • Uzyskanie przewagi konkurencyjnej na rynku.
  • Cyberbezpieczeństwo.

Wymagania

Organizacja, która chce uzyskać certyfikat systemu zarządzania bezpieczeństwem informacji wg. ISO 27001, musi wykazać zgodność jej wymaganiami oraz określonymi aktami prawa (np. RODO), odnoszącymi się do przetwarzania i przechowywania informacji oraz ich klasyfikacji.

ISO 27001 wymaga przede wszystkim podjęcia zobowiązań zawartych w ustanowionej w organizacji polityce bezpieczeństwa informacji. Oczywiście, działalność organizacji musi być zgodna z wymaganiami prawnymi (i innymi), odnoszącymi się do zabezpieczenia przetwarzanych danych, które zostały zidentyfikowane. Podobnie jak inne systemy zarządzania, ISO 27001 nie definiuje bezwzględnych wskaźników, celów, czy wartości. Zawiera natomiast zestaw podstawowych zabezpieczeń. Stąd jest narzędziem wspierającym bezpieczeństwo informacji przetwarzanych w każdej postaci.

Bezpieczeństwo informacji opiera się na 3 podstawowych atrybutach, którymi są:

  • Poufność, czyli dostępność określonych informacji tylko dla osób uprawnionych.
  • Integralność, czyli gwarancja kompletności informacji.
  • Dostępność, czyli zapewnienie upoważnionym użytkownikom dostępu do określonych informacji.

ISO 27001 wspomaga stosowanie najlepszych praktyk w obszarze zarządzania bezpieczeństwem informacji, w odniesieniu do:

  • polityki bezpieczeństwa informacji,
  • bezpieczeństwa danych osobowych,
  • zarządzania aktywami,
  • kontroli dostępu (również fizycznego),
  • kryptografii,
  • bezpieczeństwa fizycznego i technicznego,
  • bezpieczeństwa komunikacji wewnętrznej i zewnętrznej,
  • pozyskiwania, rozwoju i utrzymania systemów teleinformatycznych,
  • relacji z kontrahentami,
  • zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • aspektami bezpieczeństwa informacji w zarządzaniu ciągłością działania,
  • zgodności z obowiązującymi przepisami prawa.

Jak wdrożyć ISO 27001?

Implementacja wymagań ISO 27001 i przygotowanie do certyfikacji opiera się na współpracy Twojej firmy z doświadczonym zespołem konsultantów. Korzystamy z najlepszych praktyk konsultingowych, dlatego w Silk Road Certification realizujemy wdrożenie w 8 etapach:

ETAP I: Analiza wstępna

Musimy dobrze poznać Twoją organizację, a w szczególności rodzaje i metody przetwarzania informacji. Chcemy, aby wdrażany system zarządzania jak najbardziej odpowiadał na potrzeby Twojej firmy i funkcjonował dla jej rozwoju i bezpieczeństwa. Dlatego właśnie chcemy skonsultować się z jej przedstawicielami w celu określenia:

  • zakresu certyfikacji,
  • procesów realizowanych w organizacji,
  • przetwarzanych informacji i ich klasyfikacji,
  • metod, narzędzi i celów przetwarzania i przechowywania informacji,
  • wymagań prawnych (np. RODO),
  • zgodności realizowanych procesów z wymaganiami normy ISO 27001 – w tym poprzez analizę wewnętrznych dokumentów i systemów informatycznych Twojej firmy.

ETAP II: Opracowanie niezbędnej dokumentacji

Na podstawie informacji zebranych w pierwszym etapie opracowujemy niezbędne dokumenty, zgodne z wymaganiami normy ISO 27001, w tym przede wszystkim:

  • dokumenty ogólne (polityka bezpieczeństwa informacji, kontekst organizacji, zakres systemu, itp.),
  • procedury systemowe,
  • załączniki (formularze do prowadzenia zapisów, wynikających z wdrożonych procedur),
  • harmonogramy / rejestry,
  • instrukcje,
  • inne udokumentowane informacje, wymagane przez ISO 27001.

ETAP III: Przekazanie dokumentacji

W ramach naszej usługi dostajesz coś ekstra! Wszystkie opracowane dokumenty umieszczamy w elektronicznej księdze jakości ksiegajakosci.pl. Tworzymy indywidualne konto dostępu dla Ciebie lub Twojego pracownika – zwykle dla Pełnomocnika ds. Bezpieczeństwa Informacji. Po przekazaniu danych dostępu (login i hasło) otrzymujesz pełny dostęp do umieszczonej dokumentacji – z możliwością edytowania, dodawania i usuwanie zamieszczonych tam dokumentów. W konsekwencji w znaczący sposób ograniczasz tradycyjny obieg dokumentów, zyskując jednocześnie elastyczność.

Ty i Twój zespół zapoznajecie się z dokumentacją, a wszelkie uwagi i wątpliwości odnoszące się do ich treści są na bieżąco analizowane i omawiane z naszymi ekspertami. Wszystko po to, aby jak najlepiej odzwierciedlić obieg informacji w Twojej firmie w duchu normy ISO 27001.

ETAP IV: Szkolenia

Przeprowadzenie szkoleń dla pracowników odpowiedzialnych za poszczególne obszary, procesy i działania objęte systemem zarządzania bezpieczeństwem informacji to istotny element komunikacji w Twoim przedsiębiorstwie. W swoich zasobach posiadamy platformę do przeprowadzania e-szkoleń, umożliwiającą przeprowadzenie szkolenia w dowolnym miejscu. Możemy przeprowadzić szkolenie on-line, za pośrednictwem platformy e-learningowej lub stacjonarnie, we wskazanym przez Ciebie miejscu.

ETAP V: Przeprowadzenie audytu wewnętrznego

Audyt wewnętrzny to ważny element doskonalenia zarządzania bezpieczeństwem informacji w Twojej firmie i przygotowania jej do certyfikacji. Nasi eksperci przeprowadzają audyt wewnętrzny oraz przegląd zarządzania całego systemu zarządzania bezpieczeństwem informacji wdrożonego w Twojej organizacji, zgodnie z wymaganiami ISO 27001. Podczas audytu wewnętrznego doceniamy silne strony, a także wskazujemy obszary, które wymagają doskonalenia i/lub podjęcia określonych działań.

ETAP VI: Działania korygujące

Na tym etapie wspólnie z naszymi ekspertami wprowadzasz działania naprawcze i zapobiegawcze. W ten sposób zadbasz o newralgiczne obszary związane przetwarzaniem danych. Wszystko po to, aby bezpieczeństwo informacji w Twojej firmie było na jak najwyższym poziomie.

ETAP VII: Wsparcie w organizacji audytu certyfikującego

Pomagamy w organizacji audytu certyfikującego. Zależnie od Twoich potrzeb, pomagamy w doborze jednostki certyfikującej, prowadzonych rozmowach i kontakcie z audytorami. Wiemy, że wymaga to sporego zaangażowania, dlatego dbamy o dopełnienie wszelkich formalności związanych z organizacją audytu.

ETAP VIII: Audyt certyfikujący

Silk Road Certification zapewnia obecność konsultanta/-tki podczas audytu certyfikującego. Jego/jej zadaniem jest merytoryczne wsparcie podczas przeprowadzanej oceny. Gwarantujemy również wykonanie wszystkich zaleceń poaudytowych, dotyczących opracowanej przez nas dokumentacji, jeżeli zaistnieje taka konieczność.