Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji

Home / Aktualności / Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji

Znakomita większość organizacji – komercyjnych i publicznych posiada jakąś formę kontroli posiadanych informacji niejawnych. Wiele organizacji wprowadza kontrole bezpieczeństwa w sposób niepełny, by nie rzec chaotyczny: niektóre są wprowadzane w celu zapewnienia rozwiązań konkretnych problemów, podczas gdy inne są często wprowadzane po prostu jako kwestia standardu. W obu przypadkach mamy do czynienia z brakiem fundamentalnej analizy ryzyka i całościowego odniesienia się do zidentyfikowanych problemów. Taka losowa polityka traktuje bezpieczeństwo wybiórczo i może pozostawić cenne zasoby informacyjne niezwiązane z IT, takie jak dokumenty i wiedza zastrzeżona, mniej chronione i podatne na ataki. W celu rozwiązania tych problemów wprowadzono normę ISO/IEC 27001.

Co to jest ISO 27001?

ISO/IEC 27001 formalnie określa system zarządzania, którego celem jest objęcie bezpieczeństwa informacji jednoznacznie zdefiniowaną kontrolą zarządczą. Specyfikacja formalna oznacza, że nakłada ona określone wymagania. Organizacje, które twierdzą, że przyjęły ISO/IEC 27001, mogą zatem zostać formalnie poddane audytowi i uzyskać certyfikat zgodności z normą.

ISO/IEC 27001 wymaga, aby:
  • Systematycznie badać ryzyko związane z bezpieczeństwem informacji w organizacji, biorąc pod uwagę zagrożenia, słabe punkty i skutki.

  • Projektować i wdrażać spójny i wszechstronny zestaw kontroli bezpieczeństwa informacji i/lub innych form postępowania z ryzykiem (takich jak unikanie lub przenoszenie ryzyka) w celu przeciwdziałania zagrożeniom, które są uważane za niedopuszczalne.

  • Przyjmować nadrzędny proces zarządzania w celu zapewnienia, że mechanizmy kontroli bezpieczeństwa informacji będą na bieżąco spełniać potrzeby organizacji w zakresie bezpieczeństwa informacji.

Korzyści:
  • ISO 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji.

  • Pokazuje zaangażowanie w zapewnienie bezpieczeństwa informacji wobec stron trzecich i interesariuszy.

  • Może zapewnić ramy zapewniające wypełnienie zobowiązań handlowych, umownych i prawnych.

  • Zapewnia znaczną przewagę konkurencyjną i może skutecznie stanowić licencję na handel z firmami z wysoce regulowanych sektorów.

  • Zapewnia interoperacyjność między organizacjami lub grupami w organizacji.

  • Może zapewnić zgodność z uznaną normą zewnętrzną lub certyfikację jej zgodności, z której często kierownictwo może korzystać, aby wykazać należytą staranność.

Organizacje najczęściej rozpoczynają wdrożenie ISO 27001 od przeprowadzenia analizy luk (Gap Analysis) w odniesieniu do obowiązujących klauzul, umów i regulacji. Daje to jasny obraz obszarów, w których firmy już dostosowują się do normy, obszarów, w których istnieje ograniczona kontrola, ale jest miejsce na ulepszenia oraz obszarów, w których brakuje kontroli i należy je wdrożyć.

Dwie najważniejsze czynności przy wdrażaniu ISO 27001 :
  1. Określenie zakres implementacji systemów do zarządzania bezpieczeństwem informacji, w których podaje się, jakie informacje mają być chronione. Wspomniane systemy w ISO nazywane ISMS – Information Security Management Systems są skupione na ochronie informacji w zakresie:

    Poufności: informacje nie są dostępne ani ujawniane nieuprawnionym osobom, podmiotom lub procesom.
    Integralności: informacje są kompletne i dokładne oraz chronione przed korupcją.
    Dostępności: informacje są dostępne i mogą być wykorzystywane przez upoważnionych użytkowników.
  2. Przeprowadzenie oceny ryzyka i zdefiniowanie metodologii postępowania z ryzykiem, w której identyfikuje się zagrożenia dla informacji przetwarzanych w organizacji.

Organizacje są również zobowiązane do wypełnienia następujących obowiązkowych klauzul:
  • Information security policy and objectives (clauses 5.2 and 6.2).

  • Information risk treatment process (clause 6.1.3).

  • Risk treatment plan (clauses 6.1.3 e and 6.2).

  • Risk assessment report (clause 8.2).

  • Records of training, skills, experience and qualifications (clause 7.2).

  • Monitoring and measurement results (clause 9.1).

  • Internal audit programme (clause 9.2).

  • Results of internal audits (clause 9.2).

  • Results of the management review (clause 9.3).

  • Results of corrective actions (clause 10.1).


Wdrożenie powyższych postanowień i uzyskanie zgodności z ISO 27001 nie tylko pomaga w przestrzeganiu przepisów i zdobywaniu nowych klientów. Obecnie posiadanie certyfikacji ISO 27001 to swoisty „paszport do biznesu” – pokazuje kontrahentom, że mogą powierzyć nam swoje dane wrażliwe. Nie należy jednak zapominać, że mimo iż celem jest rozwój biznesu – wdrażając ISO27001 de facto wdrażamy solidny oparty o najlepsze praktyki z zakresu cyberbezpieczeństwa, system ochrony skoncentrowany na informacjach.

Poniżej prezentujemy „odartą z generowania wartości” listę korzyści z wdrożenia:
  • Zabezpiecza informacje: poprawnie wdrożone Information Security Management Systems mają za zadanie chronić wszystkie formy informacji, zarówno cyfrowe, papierowe, jak i w chmurze.

  • Systemy i procedury implementowane w ramach uzyskiwania certyfikacji ISO27001 znacząco podnoszą odporność Twojej na cyberataki.

  • ISMS zapewnia centralną strukturę zapewniającą bezpieczeństwo informacji i zarządzanie nimi w jednym miejscu.

  • Reagowanie na zmieniające się zagrożenia bezpieczeństwa – ISO27001 wymaga proaktywnej postawy i ciągłej ewaluacji procesów i rozwiązań chroniących informacje poufne.

  • Dzięki podejściu opartemu o analizę ryzyka organizacje mogą zmniejszyć koszty wydawane na bezkrytyczne dodawanie warstw technologii obronnych, które mogą nie działać.

  • Rekomendowane systemy ISMS oferują zestaw zasad, procedur, kontroli technicznych i fizycznych w celu ochrony poufności, dostępności i integralności informacji.

  • Poprawia kulturę firmy: holistyczne podejście ISMS obejmuje całą organizację, a nie tylko IT. Umożliwia to pracownikom łatwe zrozumienie zagrożeń i objęcie kontroli bezpieczeństwa jako części ich codziennych praktyk zawodowych.




Powiązane artykuły

Analityka cyberbezpieczeństwa. A dokładniej...?
Ochroń firmę zabezpieczając e-mail
Dlaczego ochrona końcówek jest bardzo ważna nie tylko w czasach pandemii
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji