Dużą uwagę do zapewnienia odpowiedniego zarządzania danymi zwracają również instytucje zaufania publicznego takie, jak banki, sądy, czy szpitale. Co zrobić, aby nie dopuścić do utraty danych osobowych oraz innych drażliwych danych w organizacji? Po pierwsze trzeba być świadomym zagrożeń i zapobiegać naruszeniom bezpieczeństwa. Wdrożenie normy ISO 27001 jest pomocne w utrzymaniu bezpiecznego systemu zarządzania. A potwierdzeniem tego, jest zdobycie certyfikatu ISO 27001.

Norma ISO 27001

Jest to międzynarodowa norma określająca wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Jej założenia opierają się na podejściu procesowym oraz zastosowaniu PDCA, czyli modelu Planuj – Wykonuj – Sprawdzaj – Działaj. Część podstawowa normy  obejmuje wymagania dotyczące utworzenia i zarządzania SZBI oraz związanej z tym dokumentacji. Ponadto opisuje zakres odpowiedzialności kierownictwa oraz zagadnienia związane z audytami, przeglądami oraz ciągłym doskonaleniem systemu zarządzania bezpieczeństwem informacji.

W zapisach znajdziemy zalecenia dotyczące zapewnienia bezpieczeństwa fizycznego, osobowego, teleinformatycznego, a także prawnego.

Zalety wprowadzenia SZBI

Norma ISO 27001 traktuje temat bezpieczeństwa informacji kompleksowo i bardzo szeroko. Wdrożenie SZBI pozwala na lepsze poznanie i zrozumienie ryzyka, jakie niesie ze sobą utrata, uszkodzenie, czy nieuprawnione użycie danych. Zmniejsza też ryzyko naruszenia bezpieczeństwa informacji, a w sytuacji, gdy takie naruszenie zostanie zarejestrowane pozwala firmie na systemowe działania mające na celu zniwelowanie skutków ataku.

Organizacje działające zgodnie z normą ISO 27001 mogą być pewne, że ich system jest zgodny z przepisami prawa i pokrewnymi normami.

Warto wiedzieć, że norma nie narzuca ściśle określonych regulacji, ale wskazuje obszary wymagające zabezpieczenia. Rodzaj zabezpieczeń jest wybierany przez samą organizację na podstawie wyników analizy ryzyka. Uniwersalność normy pozwala na zastosowanie jej w zarówno w małych, jak i dużych firmach wielu branż.

Posiadanie certyfikatu ISO 27001 jest jasnym znakiem dla klientów, że przedsiębiorstwo traktuje ich poważnie i dba o ich interes.

Kierownictwo zwykle docenia poprawę możliwości nadzoru nad procesami zarówno wykonywanymi "ręcznie" jak i automatycznie przez odpowiednie oprogramowanie. Wiele przedsiębiorstw, w których działa już SZBI, zwraca uwagę także na usprawnienie przebiegu procesów biznesowych, dzięki usuwaniu luk w systemach zarządzania. Innym aspektem wdrożenia tej normy jest zmniejszenie kosztów ponoszonych na opłacenie odpowiednich ubezpieczeń.

Przebieg certyfikacji ISO 27001

Aby otrzymać certyfikat ISO 27001 organizacja musi przejść przez audyt certyfikacyjny. W fazie wstępnej dokonuje się przeglądu dokumentacji SZBI oraz ogólnej weryfikacji działania systemu w firmie. Po sporządzeniu raportu organizacja może uszczelnić system zarządzania danymi i poprawić elementy, w których odnotowano nieprawidłowości. Po spełnieniu wszystkich wymagań oceniany jest sposób wdrożenia procedur oraz narzędzi kontroli. Gdy przedsiębiorstwo uzyska pozytywny wynik audytu, otrzymuje certyfikat, który jest ważny przez 3 lata. W tym czasie SZBI powinien być ciągle monitorowany i udoskonalany, a poprawność jego działania regularnie sprawdzana.

Więcej na temat certyfikacji ISO przeczytacie na www.bureauveritas.pl.