ISO/IEC 27001

ISO/IEC 27001 jest międzynarodowym, rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji. Standard ten ma zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa. Spektrum tych organizacji jest zatem bardzo szerokie: firmy, banki, jednostki administracji publicznej różnych szczebli, jednostki służby zdrowia, organizacje non-profit.

Ochrona informacji, wspomagana przez wymagania ISO/IEC 27001, nie ogranicza się wyłącznie do informacji przechowywanych w formie elektronicznej na komputerze lecz dotyczy wszystkich informacji przetwarzanych w dowolnej formie np. wydrukowanych lub zapisanych na papierze, przechowywanych w formie elektronicznej na dowolnym nośniku informacji, przetwarzanych w różnych systemach informatycznych i środowiskach przetwarzania, przesyłanych pocztą tradycyjną oraz elektroniczną, przedstawianych na obrazach i filmach, zapisanych na nagraniach dźwiękowych lub przekazywanych w trakcie rozmowy.

Niezależnie od formy przetwarzania informacji oraz stosowanych metod i narzędzi, standard ISO/IEC 27001 pomaga organizacjom stworzyć odpowiednie warunki ochrony informacji. Odpowiednie tzn. adekwatne do ryzyka utraty, zniszczenia lub odtajnienia informacji.

Zgodnie z wytycznymi standardu, bezpieczeństwo informacji powinno być zawsze rozpatrywane w trzech aspektach:

  • poufności informacji - rozumianej jako zapewnienie, że dostęp do informacji mają wyłącznie upoważnione osoby lub podmioty,
  • integralności informacji - rozumianej jako zapewnienie, że informacja jest kompletna (nie zawiera wykluczeń, które mogą mieć wpływ na właściwe rozumienie przekazu informacyjnego),
  • dostępności informacji - rozumianej jako zapewnienie, że upoważnieni użytkownicy mają dostęp do informacji w każdej sytuacji, kiedy jest to niezbędne do realizacji ich zadań.

Korzyści z wdrożenia ISO/IEC 27001

Zachowanie poufności, integralności i dostępności istotnych dla organizacji informacji o Klientach, partnerach biznesowych czy realizowanych procesach jest niezbędne do utrzymania przewagi konkurencyjnej, płynności przepływów pieniężnych, uzyskania zaplanowanego zysku z działalności, zapewnienia zgodności funkcjonowania organizacji z przepisami prawa oraz utrzymania właściwego image organizacji.

System bezpieczeństwa informacji wspierany wymaganiami normy ISO/IEC 27001 może skutecznie pomóc w realizacji tych zadań. Łatwo sobie wyobrazić konsekwencje dla organizacji, w przypadku utraty, zniszczenia, uszkodzenia lub niewłaściwego użycia informacji. W wielu przypadkach takie zdarzenia mogą doprowadzić, a historia pokazuje, że już doprowadziły, do zachwiania ciągłości działania lub wręcz do upadku organizacji.

Standard ISO/IEC 27001 definiuje jedenaście aspektów bezpieczeństwa informacji w obszarach, w których powinny zostać w wdrożone odpowiednie zabezpieczenia. Aspekty te to:

  • Polityka bezpieczeństwa,
  • Organizacja bezpieczeństwa informacji,
  • Klasyfikacja aktywów i odpowiedzialność za aktywa informacyjne,
  • Bezpieczeństwo informacji związane z czynnikiem ludzkim,
  • Bezpieczeństwo fizyczne i środowiskowe,
  • Zarządzanie systemami i sieciami teleinformatycznymi,
  • Kontrola dostępu,
  • Pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
  • Zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • Zarządzanie ciągłością działania systemów informacyjnych,
  • Zgodność - rozumiana jako legalność przetwarzania informacji oraz zgodność przetwarzania informacji z własnymi standardami (np. standardami korporacyjnymi).

System bezpieczeństwa informacji zbudowany w tak uporządkowany sposób daje gwarancję, że jest systemem ciągłym i kompletnym (nie zawiera luk bezpieczeństwa). W zarządzaniu bezpieczeństwem informacji spotkamy się z pojęciem łańcucha bezpieczeństwa a każdy łańcuch jest tak mocny jak jego najsłabsze ogniwo. Uporządkowane podejście do zarządzania bezpieczeństwem informacji jakie proponuje standard daje gwarancję, że wszystkie słabe ogniwa łańcucha bezpieczeństwa zostały zidentyfikowane już na etapie budowania systemu, a powstałe z biegiem czasu słabe ogniwa zostaną odpowiednio szybko wykryte i zniwelowane przez wdrożenie odpowiednich zabezpieczeń.

Dlaczego warto wdrożyć i certyfikować system ISO/IEC 27001?

Uzyskanie certyfikatu ISO 27001 potwierdza, że organizacja określiła wymagania bezpieczeństwa informacji, skutecznie wdrożyła odpowiednie zabezpieczenia i świadomie zarządza bezpieczeństwem swoich zasobów informacyjnych przez co w sposób bezpośredni lub pośredni:
  • zapewnia komfort Klientom, pracownikom, partnerom handlowych i zainteresowanym stronom przez budowanie świadomości, że systemy przetwarzania informacji wykorzystywane w organizacji a tym samym przetwarzane w nich informacje są bezpieczne,
  • demonstruje wiarygodność i zaufanie organizacji jako partnera biznesowego,
  • otwiera możliwości podjęcia współpracy z nowymi Klientami, dla których spełnienie norm bezpieczeństwa informacji jest jednym z głównych warunków,
  • minimalizuje koszty ochrony informacji związane z wdrażaniem zabezpieczeń przez racjonalizację wydatków związanych z wdrażaniem zabezpieczeń oraz unikanie kosztów wynikających ze skutków naruszenia bezpieczeństwa informacji,
  • wskazuje, że organizacja funkcjonuje zgodnie z odpowiednimi przepisami prawa,
  • buduje przewagę konkurencyjną organizacji w obszarze obiegu, przetwarzania, wykorzystania i ochrony informacji.

W jaki sposób uzyskać certyfikat ISO 27001?

Gdy wszystkie wymagania standardu ISO/IEC 27001 są spełnione, co może zostać potwierdzone przez wykonanie audytów wewnętrznych, organizacja może przystąpić do auditu zewnętrznego. Powinien on zostać wykonany przez stronę trzecią - akredytowaną jednostkę certyfikującą.

Certyfikacja będzie przebiegać dwu etapowo. Etap 1 dotyczy przeglądu dokumentacji, a etap 2 sprawdzenia funkcjonowania systemu zarządzania w organizacji. Zachęcamy do zapoznania się z ogólnym schematem przeprowadzenia etapu 1 certyfikacji i etapu 2 certyfikacji.

Podczas certyfikacji ISO/IEC 27001 auditor skupi się na przeglądzie:

  • polityki bezpieczeństwa informacji,
  • deklaracji stosowania zabezpieczeń oraz ich skutecznego stosowania,
  • metodyki analizy ryzyka,
  • udokumentowanych procedur bezpieczeństwa,
  • zidentyfikowanych zagrożeniach bezpieczeństwa informacji.
  • czy metody pracy i stosowane w organizacji praktyki związane z ochroną informacji są zgodne z procedurami i wyznaczonymi przez organizację celami bezpieczeństwa,
  • zapisów związanych z funkcjonowaniem systemu.

Po pozytywnie zakończonej certyfikacji zostanie wydany certyfikat rejestracji systemu ISO/IEC 27001. Kolejnym etapem są audity przeglądowe, które mają na celu zapewnienie, że ​​system zarządzania jest skuteczny, doskonalony i nadal spełnia wymagania standardu ISO/IEC 27001.

Jaki jest koszt certyfikacji ISO/IEC 27001?

W ISOQAR stosujemy praktykę „szycia oferty na miarę". Bierzemy pod uwagę wiele czynników przed przedstawieniem kosztów certyfikacji.
Aby uzyskać ofertę zachęcamy do złożenia zapytania ofertowego on-line.

 

Zadzwoń pod numer +48 22 649 76 64 i zapytaj o to jakie kroki musisz podjąć w swojej firmie aby uzyskać certyfikat ISO 27001.




 


 
  • Wypełnij formularz aby otrzymać ofertę 
na certyfikację systemu zarządzania.
  • Zadzwoń i zapytaj o koszt certyfikacji ISO
+48 22 649 76 64
FB Twitter
Certyfikacja ISO 9001 oraz ISO 27001 © 2016 ISOQAR CEE Sp. z o.o.
Projekt i realizacja NSF.pl Usługi Informatyczne | System zarządzania treścią Geopard CMS