W dzisiejszych czasach informacja jest jedną z najcenniejszych walut. Wielu przedsiębiorców na różnych etapach swojej kariery zawodowej zmagało się z konsekwencjami nieskutecznego zabezpieczenia posiadanych danych. Warto więc – niezależnie od formy posiadanych informacji – zapewnić im odpowiednią ochronę. Tu z pomocą przychodzi norma ISO/IEC 27001, która ustanawia standardy regulujące, w jaki sposób należy zarządzać bezpieczeństwem informacji. Na czym polega ta norma i do czego zobowiązuje przedsiębiorców?
Czym jest norma ISO/IEC 27001?
Norma ISO/IEC 27001 jest to międzynarodowa norma standaryzująca systemy, które mają wpływ na zarządzanie bezpieczeństwem informacji. Ogłoszono ją już w październiku 2005 (według standardu brytyjskiego BS 7799-2), do Polski jednak dotarła w styczniu 2007 pod nazwą PN-ISO/IEC 27001:2007, jednocześnie zastępując wówczas obowiązującą normę PN-I-07799-2:2005, również wzorowaną na standardzie brytyjskim. Obecnie funkcjonująca wersja normy nosi pełną nazwę PN-ISO/IEC 27001:2017.
Zgodność funkcjonowania przedsiębiorstwa z normą stwierdza się podczas przeprowadzanych audytów, na podstawie których można otrzymać certyfikat potwierdzający, że działania mające na celu ochronę posiadanych informacji oraz danych są wystarczające i efektywne.
Cykl Deminga
Norma ISO/IEC 27001 zaleca zastosowanie metody zwanej Cykl Deminga (PDCA). Metoda ta mówi o cyklu działań: planuj – wykonuj – sprawdzaj – działaj. Na etapie planowania należy określić, jaki cel chcemy osiągnąć oraz przygotować odpowiednie procedury, które pomogą w realizacji celu. Na etapie „wykonuj” musimy zacząć wdrażać zasady, które zaplanowaliśmy. Kolejnym etapem jest sprawdzanie, czyli nic innego jak monitorowanie wydajności i efektywności zmian, które wprowadziliśmy. Działanie natomiast ma na celu uszczelnienie procedur, które na etapie sprawdzania okazały się wymagające dopracowania.
Czym jest SZBI?
Każde przedsiębiorstwo, które chce właściwie dbać o bezpieczeństwo posiadanych informacji i ustrzec się przed ich utratą lub niepożądanym rozpowszechnianiem, powinno rozważyć skorzystanie z systemu pozwalającego kompleksowo nimi zarządzać. Z pomocą przychodzi standard nazywany Systemem Zarządzania Bezpieczeństwem Informacji (w skrócie: SZBI lub z angielskiego ISMS: Information Security Management System). Jest to system zgodny z ISO/IEC 27001 i posiada międzynarodowy zasięg. SZBI pozwala określić, jakie są wymagania, reguły, procedury wdrażania oraz jak można poprawić obecny poziom zarządzania bezpieczeństwem informacji w przedsiębiorstwie. Dzięki SZBI możemy poznać najpraktyczniejsze rozwiązania w kontekście zabezpieczania informacji w obszarach takich, jak na przykład bezpieczeństwo zasobów ludzkich, kontrola dostępu, polityka bezpieczeństwa informacji, relacje z kontrahentami i dostawcami, zarządzanie aktywami i wiele innych.
Co zyskujemy dzięki normie ISO/IEC 27001?
Przedsiębiorstwa mogące pochwalić się certyfikatem zgodności z ISO/IEC 27001 wzbudzają większe zainteresowanie kontrahentów, ponieważ mogą oni być pewni, że informacje i dane przez nich przekazywane chronione są w sposób właściwy. Przestrzeganie procedur pozwala zapewnić bezpieczeństwo własne oraz klientów powierzających nam swoje zaufanie.
Dzięki wprowadzonym zmianom w procedurach i zoptymalizowaniu systemu ochrony danych (między innymi finansowych) minimalizujemy ryzyko, że niepowołany podmiot otrzyma do nich dostęp i będzie te dane przetwarzał w sposób niewłaściwy lub nawet szkodliwy.
Z perspektywy klienta – lepiej wybrać firmę z certyfikatem, ponieważ świadczy to o zaangażowaniu i szczególnym zainteresowaniu kwestią bezpieczeństwa danych. Warto dodać, że dzięki ISO/IEC 27001 łatwiej identyfikuje się potencjalne zagrożenia i wprowadza środki zapobiegawcze. Konkretne obszary działalności przedsiębiorstwa zyskują dzięki wdrożeniu zoptymalizowanych zabezpieczeń. Firmy wykazujące zgodność z ISO/IEC 27001 mają pierwszeństwo wyboru w roli dostawcy, a w kwestii przetargów to właśnie ta norma pomaga spełnić sporą liczbę wymogów.