Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji
Znakomita większość organizacji – komercyjnych i publicznych posiada jakąś formę kontroli posiadanych informacji niejawnych. Wiele organizacji wprowadza kontrole bezpieczeństwa w sposób niepełny, by nie rzec chaotyczny: niektóre są wprowadzane w celu zapewnienia rozwiązań konkretnych problemów, podczas gdy inne są często wprowadzane po prostu jako kwestia standardu. W obu przypadkach mamy do czynienia z brakiem fundamentalnej analizy ryzyka i całościowego odniesienia się do zidentyfikowanych problemów. Taka losowa polityka traktuje bezpieczeństwo wybiórczo i może pozostawić cenne zasoby informacyjne niezwiązane z IT, takie jak dokumenty i wiedza zastrzeżona, mniej chronione i podatne na ataki. W celu rozwiązania tych problemów wprowadzono normę ISO/IEC 27001.
Co to jest ISO 27001?
ISO/IEC 27001 formalnie określa system zarządzania, którego celem jest objęcie bezpieczeństwa informacji jednoznacznie zdefiniowaną kontrolą zarządczą. Specyfikacja formalna oznacza, że nakłada ona określone wymagania. Organizacje, które twierdzą, że przyjęły ISO/IEC 27001, mogą zatem zostać formalnie poddane audytowi i uzyskać certyfikat zgodności z normą.
ISO/IEC 27001 wymaga, aby:
- Systematycznie badać ryzyko związane z bezpieczeństwem informacji w organizacji, biorąc pod uwagę zagrożenia, słabe punkty i skutki.
- Projektować i wdrażać spójny i wszechstronny zestaw kontroli bezpieczeństwa informacji i/lub innych form postępowania z ryzykiem (takich jak unikanie lub przenoszenie ryzyka) w celu przeciwdziałania zagrożeniom, które są uważane za niedopuszczalne.
- Przyjmować nadrzędny proces zarządzania w celu zapewnienia, że mechanizmy kontroli bezpieczeństwa informacji będą na bieżąco spełniać potrzeby organizacji w zakresie bezpieczeństwa informacji.
Korzyści:
- ISO 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji.
- Pokazuje zaangażowanie w zapewnienie bezpieczeństwa informacji wobec stron trzecich i interesariuszy.
- Może zapewnić ramy zapewniające wypełnienie zobowiązań handlowych, umownych i prawnych.
- Zapewnia znaczną przewagę konkurencyjną i może skutecznie stanowić licencję na handel z firmami z wysoce regulowanych sektorów.
- Zapewnia interoperacyjność między organizacjami lub grupami w organizacji.
- Może zapewnić zgodność z uznaną normą zewnętrzną lub certyfikację jej zgodności, z której często kierownictwo może korzystać, aby wykazać należytą staranność.
Organizacje najczęściej rozpoczynają wdrożenie ISO 27001 od przeprowadzenia analizy luk (Gap Analysis) w odniesieniu do obowiązujących klauzul, umów i regulacji. Daje to jasny obraz obszarów, w których firmy już dostosowują się do normy, obszarów, w których istnieje ograniczona kontrola, ale jest miejsce na ulepszenia oraz obszarów, w których brakuje kontroli i należy je wdrożyć.
Dwie najważniejsze czynności przy wdrażaniu ISO 27001 :
- Określenie zakres implementacji systemów do zarządzania bezpieczeństwem informacji, w których podaje się, jakie informacje mają być chronione. Wspomniane systemy w ISO nazywane ISMS – Information Security Management Systems są skupione na ochronie informacji w zakresie:
Poufności: informacje nie są dostępne ani ujawniane nieuprawnionym osobom, podmiotom lub procesom.
Integralności: informacje są kompletne i dokładne oraz chronione przed korupcją.
Dostępności: informacje są dostępne i mogą być wykorzystywane przez upoważnionych użytkowników. - Przeprowadzenie oceny ryzyka i zdefiniowanie metodologii postępowania z ryzykiem, w której identyfikuje się zagrożenia dla informacji przetwarzanych w organizacji.
Organizacje są również zobowiązane do wypełnienia następujących obowiązkowych klauzul:
- Information security policy and objectives (clauses 5.2 and 6.2).
- Information risk treatment process (clause 6.1.3).
- Risk treatment plan (clauses 6.1.3 e and 6.2).
- Risk assessment report (clause 8.2).
- Records of training, skills, experience and qualifications (clause 7.2).
- Monitoring and measurement results (clause 9.1).
- Internal audit programme (clause 9.2).
- Results of internal audits (clause 9.2).
- Results of the management review (clause 9.3).
- Results of corrective actions (clause 10.1).
Wdrożenie powyższych postanowień i uzyskanie zgodności z ISO 27001 nie tylko pomaga w przestrzeganiu przepisów i zdobywaniu nowych klientów. Obecnie posiadanie certyfikacji ISO 27001 to swoisty „paszport do biznesu” – pokazuje kontrahentom, że mogą powierzyć nam swoje dane wrażliwe. Nie należy jednak zapominać, że mimo iż celem jest rozwój biznesu – wdrażając ISO27001 de facto wdrażamy solidny oparty o najlepsze praktyki z zakresu cyberbezpieczeństwa, system ochrony skoncentrowany na informacjach.
Poniżej prezentujemy „odartą z generowania wartości” listę korzyści z wdrożenia:
- Zabezpiecza informacje: poprawnie wdrożone Information Security Management Systems mają za zadanie chronić wszystkie formy informacji, zarówno cyfrowe, papierowe, jak i w chmurze.
- Systemy i procedury implementowane w ramach uzyskiwania certyfikacji ISO27001 znacząco podnoszą odporność Twojej na cyberataki.
- ISMS zapewnia centralną strukturę zapewniającą bezpieczeństwo informacji i zarządzanie nimi w jednym miejscu.
- Reagowanie na zmieniające się zagrożenia bezpieczeństwa – ISO27001 wymaga proaktywnej postawy i ciągłej ewaluacji procesów i rozwiązań chroniących informacje poufne.
- Dzięki podejściu opartemu o analizę ryzyka organizacje mogą zmniejszyć koszty wydawane na bezkrytyczne dodawanie warstw technologii obronnych, które mogą nie działać.
- Rekomendowane systemy ISMS oferują zestaw zasad, procedur, kontroli technicznych i fizycznych w celu ochrony poufności, dostępności i integralności informacji.
- Poprawia kulturę firmy: holistyczne podejście ISMS obejmuje całą organizację, a nie tylko IT. Umożliwia to pracownikom łatwe zrozumienie zagrożeń i objęcie kontroli bezpieczeństwa jako części ich codziennych praktyk zawodowych.