Dnia 15 listopada równolegle w auli Centrum Nowych Technologii Informatycznych Katedry Informatyki, Wydziału Informatyki i Komunikacji Uniwersytetu Ekonomicznego w Katowicach oraz w sali wideokonferencyjnej Polskiego Towarzystwa Informatycznego w Warszawie odbyło się seminarium dotyczące praktycznego podejścia do wdrożenia normy PN-ISO/IEC 27001.
Pierwsze wystąpienie – Przemysława Szczurka, Product Managera ds. Bezpieczeństwa Informacji w TUV Nord, dotyczyło przygotowania organizacji do procesu certyfikacji. TUV Nord jest jednostką certyfikacyjną odpowiedzialną za audyt organizacji i weryfikację, czy spełnia ona wymogi posiadania funkcjonującego Systemu Zarządzania Bezpieczeństwem Informacji. Organizacja ma duże doświadczenie w zakresie certyfikacji:
Bazując na analizie tak rozległej praktyki, Przemysław Szczurek przedstawił 10 kroków, jakie powinna przejść każda organizacja, która zamierza wdrożyć PN-ISO/IEC 27001. Zalecenia na kolejnych etapach brzmią następująco:
Kolejny prelegent - Jarosław Krawczyk, Kierownik zespołu ds. technicznych w Śląskim Centrum Społeczeństwa Informacyjnego (ŚCSI) w Katowicach, omówił proces certyfikacyjny na przykładzie administracji publicznej. Podkreślił, że Śląskie Centrum Społeczeństwa Informacyjnego w Katowicach posiada nie tylko certyfikację PN-ISO/IEC 27001, lecz także chroni zasoby informacyjne za które jest odpowiedzialne z wykorzystaniem Zintegrowanego System Zarządzania, w którego skład wchodzą:
Wdrożenie tak wszechstronnego systemu to oczywiście proces wieloletni i wieloetapowy. Śląskie Centrum Społeczeństwa Informacyjnego rozpoczęło pracę nad wdrożeniem systemu już w roku 2010, rozpoczynając od audytu wstępnego oceniającego stan istniejący. Kolejne etapy obejmowały opracowanie niezbędnej dokumentacji, realizację wdrożenia, przeprowadzenie niezbędnych warsztatów i szkoleń dla wszystkich zaangażowanych w proces oraz zakup niezbędnego oprogramowania wspomagającego wdrożenie i utrzymanie Zintegrowanego Systemu Zarządzania. Wdrożenie zakończyło się 19.04.2012 r. pozytywnym wynikiem audytu certyfikującego wdrożenie w ŚCSI zintegrowanego systemu zarządzania obejmującego 3 standardy: PN-EN ISO 9001:2009, PN-EN ISO/IEC 27001:2007, ISO/IEC 20000-1: 2005.
Zgodnie z koniecznością utrzymania certyfikacji w kolejnych latach, system podlegał recertyfikacji. Ponieważ bezpieczeństwo jest procesem ciągłym, Śląskie Centrum Społeczeństwa Informacyjnego chcąc spełnić wymogi standardów bezpieczeństwa dokonało aktualizacji ISO/IEC 27001:2007 do nowej wersji ISO/IEC 27001:2014. Proces ten był dużym wyzwaniem ze względu na znaczne zmiany w zakresie budowy standardu systemu bezpieczeństwa, jaki wprowadziła Międzynarodowa Organizacja Normalizacyjna aktualizując normę. Z tego względu konieczne było przebudowanie zagadnień związanych z analizą ryzyk organizacji zgodnei z wytycznymi zawartymi w normie PN-ISO 31000:2012 Zarządzanie ryzykiem.
Warto podkreślić, że Zintegrowanego System Zarządzania, jaki funkcjonuje w ŚCSI to ewenement w skali administracji publicznej, co wynika z badania pt. „Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego”. Badanie to zostało przeprowadzone przez Izbę Rzeczoznawców Polskiego Towarzystwa Informatycznego na próbie ok. 340 jednostek samorządowych.
Z analizy zebranych danych jasno wynika, że polska administracja publiczna nie tylko nie posiada certyfikacji systemów zarządzania bezpieczeństwem informacji, lecz – co gorsza – nie dysponuje nawet samymi normami. W raporcie czytamy, że „Zdecydowana większość instytucji, tj. 309, co stanowi ponad 91% badanych, nie zakupiła ani jednej normy”. W badaniu przeprowadzonym przez Izbę rzeczoznawców pytano o zakup normy PN-ISO/IEC 20000, PN-ISO/IEC 27001, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762. Z powyższego badania wynika, że certyfikacją zgodności z PN-ISO/IEC 27001 Systemów Zarządzania Bezpieczeństwem Informacji może poszczycić się ledwo 3,24% badanej próby, czyli raptem 11 samorządów. Raport z badania dostępny jest bezpłatnie,– w wersji drukowanej i elektronicznej (na licencji Creative Commons Uznanie Autorstwa 3.0 Polska) – na stronie:http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
Na zdjęciu od lewej: Adam Mizerski, Jarosław Krawczyk, Michał Latocha, Przemysław Szczurek oraz prof. Małgorzata Pankowska. Fot. Filip Woźniczka
Seminarium zakończyło się wystąpieniem Michał Latochy, Country IT Managera for Poland w Plastic Omnium Auto Sp. z o.o. Ostatni z prelegentów – jako przedstawiciel biznesu z branży samochodowej – zaprezentował doświadczenia wdrożenia PN-ISO/IEC 27001 z punktu widzenia przemysłu. Michał Latocha rozpoczął swoje wystąpienie zgodnie z wytycznymi Hitchcocka – najpierw nastąpiło trzęsienie ziemi,a potem napięcie stale rosło. Na początku prezentacji prelegent przedstawił oświadczenie najwyższego kierownictwa swojej firmy w postaci: „Chciałbym aby Wszyscy tutaj zebrani przyjęli do wiadomości, że nie potrzeba nam ISO27001…”
Później było coraz ciekawiej – Michał Latocha podzielił się niezwykle interesującym doświadczeniem wdrożenia systemu bezpieczeństwa informacji wbrew bardzo poważnym trudnościom – k w firmie, w której najwyższe kierownictwo wyrażało sprzeciw wobec takich działań; w firmie, która w ówczesnym czasie (rok 2010) zmagała się z wielkimi trudnościami wynikającymi z recesji. Mimo tych barier dokonano transformacji w zakresie zarządzania bezpieczeństwem informacji, które zakończyły się certyfikacją zgodności z PN-ISO/IEC 27001.
Narzędziem umożliwiającym przełamanie wcześniejszego oporu kierownictwa była rzetelnie opracowana analiza ryzyk, wskazująca na konsekwencje zastanego stanu rzeczy oraz zawierająca rekomendacje ograniczające zidentyfikowane ryzyka.
Dlaczego zdecydowano się na PN-ISO/IEC 27001? Oto kilka przesłanek, które prelegent wymienił:
Michał Latocha podkreślił również zdecydowaną przewagę przeprowadzenia audytu certyfikacyjnego. Zaplanowanie takich działań wyraźnie motywuje do poprawy bezpieczeństwa organizacji. Pokazuje to przykład jednej w fabryk, w której początkowo przeprowadzono cały proces wdrożenia systemu zarządzania bezpieczeństwem, jednak bez finalnej certyfikacji. Zastosowanie systemu zarządzania bezpieczeństwem informacji nie udało się, co pokazuje, że certyfikacja jednak jest konieczna.
Seminarium zostało organizowane przez ISACA Katowice Chapter we współpracy z Polskim Towarzystwem Informatycznym oraz Polskim Oddziałem IEEE Computer Society.
Patronat medialny nad wydarzeniem objął Dziennik Internautów.
Organizatorzy już rozpoczęli pracę nad kolejnym seminarium, którego tematyką będzie norma ISO/IEC 15504. Szczegóły dostępne będą wkrótce.
Opracował Adam Mizerski
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*