Nie będziemy ukrywać: wdrożenie SZBI (Systemu Zarządzania Bezpieczeństwem Informacji) zgodnego z ISO/IEC 27001 może być nie lada wyzwaniem. Ale jak mówi przysłowie - nic, co jest warte posiadania nie przychodzi łatwo, a wdrożony standard ISO/IEC 27001 zdecydowanie warto posiadać.
Jeśli dopiero zaczynasz pracę z ISO/IEC 27001, przygotowaliśmy tę 9-etapową listę kontrolną, która pomoże Ci w skutecznym wdrożeniu systemu.
Twoim pierwszym zadaniem jest wyznaczenie lidera zespołu wdrożeniowego, który będzie nadzorował wszystkie kroki.
Lider zespołu powinien posiadać wszechstronną wiedzę na temat bezpieczeństwa informacji, uprawnienia do kierowania zespołem i wydawania poleceń menedżerom (tych, których działy będą objęte systemem). Lider zespołu będzie potrzebował grupy osób do pomocy. Kierownictwo wyższego szczebla może samodzielnie wybrać zespół lub pozwolić liderowi zespołu na wybór jego członków. Skompletowany zespół powinien stworzyć zarys projektu wdrożenia.
Jest to zestaw odpowiedzi na następujące pytania:
Teraz musisz przejść do planowania samego wdrożenia. Zespół wdrożeniowy wykorzysta swój zarys projektu, aby stworzyć bardziej szczegółową charakterystykę swoich celów w zakresie bezpieczeństwa informacji, planu i rejestru ryzyka.
Obejmuje to określenie polityk, które ustanawiają:
Po ustaleniu planu, nadchodzi czas, aby wybrać metodologię ciągłego doskonalenia. Norma nie określa konkretnej metody doskonalenia, zaleca natomiast "podejście procesowe". Jest to zasadniczo strategia cyklu Deminga Plan-Do-Check-Act. Możesz użyć dowolnego modelu, o ile wymagania i procesy są jasno zdefiniowane, poprawnie wdrożone oraz regularnie przeglądane i usprawniane.
Należy również stworzyć politykę Systemu, która choć nie musi być szczegółowa, powinna dokładnie określić, co Twój zespół wdrożeniowy chce osiągnąć i jak planuje to zrobić. Po zatwierdzeniu polityki przez zarząd, można rozwinąć pozostałą część struktury dokumentacji.
Można zastosować strategię czterowarstwową:
Kolejnym krokiem jest uzyskanie ram systemu. Proces ten jest opisany w punktach 4 i 5 normy ISO/IEC 27001. Ten krok ma kluczowe znaczenie dla określenia skali systemu i zasięgu, jaki będzie miał w codziennych operacjach. W związku z tym musisz rozpoznać wszystkie obszary i działania istotne dla Twojej organizacji, aby system mógł zaspokoić potrzeby Twojej organizacji.
Najważniejszą częścią tego procesu jest zdefiniowanie zakresu Systemu Zarządzania Bezpieczeństwem Informacji. Obejmuje to identyfikację lokalizacji, w których przechowywane są informacje, niezależnie od tego, czy są to pliki fizyczne czy cyfrowe, systemy czy urządzenia przenośne.
Podstawą bezpieczeństwa organizacji jest minimalny poziom aktywności wymagany do bezpiecznego prowadzenia działalności.
Można zidentyfikować poziom bazowy bezpieczeństwa na podstawie informacji zebranych w ocenie ryzyka ISO/IEC 27001. Pomoże to zidentyfikować największe luki w zabezpieczeniach Twojej organizacji i odpowiednią kontrolę ISO/IEC 27001 w celu ograniczenia ryzyka (opisaną w załączniku A do normy).
Zarządzanie ryzykiem leży u podstaw Systemu Zarządzania Bezpieczeństwem Informacji. Prawie każdy aspekt systemu bezpieczeństwa opiera się na zidentyfikowanych zagrożeniach, przez co zarządzanie ryzykiem jest podstawową kompetencją każdej organizacji wdrażającej ISO/IEC 27001.
Standard umożliwia organizacjom definiowanie własnych procesów zarządzania ryzykiem. Powszechne metody koncentrują się na nadzorowaniu ryzyka dla określonych aktywów lub ryzyka przedstawionego w poszczególnych scenariuszach. Twoje decyzje w zakresie systemu muszą być wynikiem oceny ryzyka.
Składa się ona z 5 etapów:
Następnie należy ustalić kryteria akceptacji ryzyka, tj. szkody, które spowodują zagrożenia i prawdopodobieństwo ich wystąpienia. Menedżerowie często kwantyfikują ryzyko, punktując je na matrycy ryzyka; im wyższy wynik, tym większe zagrożenie. Następnie wybiorą próg punktu, w którym należy zająć się ryzykiem.
Istnieją cztery podejścia, do zidentyfikowanego ryzyka:
Finalnie, ISO/IEC 27001 wymaga od organizacji wypełnienia SoA (deklaracji stosowania zabezpieczeń). Powinno zawierać, które z zabezpieczeń zostały wybrane i które zostały wyłączone oraz dlaczego dokonałeś tych wyborów.
Wdrożenie planu ograniczania ryzyka to proces budowania mechanizmów kontroli bezpieczeństwa, które będą chronić zasoby informacyjne organizacji.
Aby upewnić się, że te zabezpieczenia są skuteczne, należy sprawdzić, czy pracownicy mają kompetencje, by brać udział w procesach kontrolnych i czy są świadomi swoich obowiązków w zakresie bezpieczeństwa informacji. Konieczne będzie także opracowanie procesu określenia, przeglądu i utrzymywania kompetencji niezbędnych do osiągnięcia celów Systemu. Wiąże się to z przeprowadzeniem analizy potrzeb i określeniem pożądanego poziomu kompetencji pracowników.
Nie będzie możliwe stwierdzenie, czy Twój System Zarządzania Bezpieczeństwem Informacji działa poprawnie, jeżeli nie będzie poddawany przeglądom.
Warto wykonywać je co najmniej raz w roku, aby móc uważnie obserwować zmieniający się profil ryzyka. Przegląd obejmuje identyfikację kryteriów, które odzwierciedlają cele z zarysu projektu.
Popularną metodą pomiaru ryzyka jest analiza ilościowa, gdzie mierzonym elementom jest przypisywana wartość. Jest to pomocne przy analizach związanych z kosztami finansowymi lub z czasem. Alternatywą jest analiza jakościowa, w której pomiary opierają się na ocenie podlegającej kategoryzacji, na przykład "wysoka", "średnia" i "niska".
Oprócz przeglądów, należy przeprowadzać regularne audity wewnętrzne standardu ISO/IEC 27001. Audit wewnętrzny powinien zostać przeprowadzony jak najdokładniej, ponieważ trzeba uzyskać wyniki, przejrzeć je i zaplanować audit na następny rok. Wyniki auditu wewnętrznego stanowią dane wejściowe do przeglądu zarządzania, które zostaną wprowadzone do procesu ciągłego doskonalenia.
Po wdrożeniu systemu, możesz ubiegać się o certyfikat ISO/IEC 27001.
Musisz przygotować się wtedy do auditu zewnętrznego.
Audity certyfikujące prowadzone są w dwóch etapach. Przegląd dokumentacji określa, czy System organizacji został opracowany zgodnie z wymaganiami Normy ISO/IEC 27001. Jeśli opracowana dokumentacja jest prawidłowa, przeprowadzany jest drugi etap - audit certyfikujący, czyli sprawdzenie funkcjonowania systemu w praktyce.
Przed podejściem do certyfikacji, powinieneś mieć pewność, że jesteś gotowy do tego przedsięwzięcia. Proces ten jest czasochłonny i wiąże się z kosztami nawet, jeżeli certyfikat ostatecznie nie zostanie przyznany.
Kolejną rzeczą, na którą warto zwrócić uwagę, jest wybór jednostki certyfikującej. Podstawowym kryterium powinno być, czy jednostka jest akredytowana. Gwarantuje to, że przegląd jest rzeczywiście zgodny z ISO/IEC 27001. Nieakredytowane jednostki często przyznają certyfikacje niezależnie od stanu zgodności systemu, stąd Twój certyfikat nie będzie wiarygodny, także dla Twoich klientów i wszystkich zainteresowanych stron.
Koszt auditu certyfikacyjnego będzie miał kluczowe znaczenie przy podejmowaniu decyzji, do którego organu się udać. Warto się jednak także zastanowić, czy proponowany przez jednostkę auditor ma doświadczenie w Twojej branży i czy jest w stanie przekazać wartość Twojej firmie. W końcu System Zarządzania Bezpieczeństwem Informacji jest zawsze unikalny dla organizacji, która go tworzy. Dlatego każdy, kto przeprowadza audit, musi być świadomy Twoich potrzeb i wymagań.
Jeśli chcesz dowiedzieć się więcej na temat certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001 skontaktuj się z nami za pośrednictwem formularza zgłoszeniowego lub telefonicznie.