W dzisiejszych czasach nie istnieje żadna działalność, która nie wiązałaby się z wymianą informacji. Niedostateczny poziom bezpieczeństwa informacji może prowadzić do szkód finansowych, powstawania nieprawidłowości w funkcjonowaniu organizacji, czy też do utraty dobrego imienia organizacji. Odpowiedzią na te wyzwania jest wprowadzenie jednolitego Systemu Zarządzania Bezpieczeństwem Informacji, zgodnego z międzynarodową normą ISO 27001. Określa on wymagania odnoszące się do ustanawiania, wdrażania, utrzymania oraz ciągłego udoskonalania systemu zarządzania bezpieczeństwem informacji.

W skrócie jest to międzynarodowa norma dla systemów zarządzania bezpieczeństwem informacji.

System Zarządzania Bezpieczeństwem Informacji, skrótowo nazywany SZBI, opiera się na 3 głównych pryncypiach:

  • Poufność – zapewnienie, że informacja nie zostanie udostępniona nieupoważnionym osobom,
  • Integralność – zapewnienie, że informacje nie zostaną zmienione czy też zniszczone w sposób nieautoryzowany,
  • Dostępność – zapewnienie, że upoważnione osoby mogą uzyskać dostęp do danych zawsze, gdy tego potrzebują.

Norma ISO/IEC 27001:2013 może być stosowana przez wszystkich przedsiębiorców, niezależnie od tego, jaką działalność prowadzą. Spełnienie wymagań przez dany podmiot jest potwierdzane certyfikatem ISO/IEC 27001.

Od czego zacząć?

Wprowadzenie SZBI według ISO 27001 nie jest prostym zadaniem. Można jednak podejść do niego w sposób systematyczny. Wystarczy podzielić pracę na mniejsze, kolejno wykonywane etapy. Pozwoli to na bardziej efektywne wdrożenie i uchroni przed popełnieniem podstawowych błędów.

Oto typowy przebieg wdrażania SZBI, podzielony na odpowiednie kroki:

  1. Zidentyfikowanie aktualnych luk bezpieczeństwa, zagrożeń dla bezpieczeństwa informacji oraz praktycznych zabezpieczeń.
  2. Zdefiniowanie zakresu SZBI.
  3. Przygotowanie deklaracji stosowania.
  4. Zinwentaryzowanie zasobów.
  5. Przeprowadzenie analizy ryzyka.
  6. Określenie planu postępowania z ryzykiem.
  7. Opracowanie programu wdrażania SZBI.
  8. Implementacja programu wdrożenia SZBI.
  9. Dokumentowanie SZBI – polityka bezpieczeństwa, standardy, procedury, wytyczne, raporty z analizy ryzyka, raporty z audytów.
  10. Audyt wewnętrzny w celu sprawdzania zgodności systemu.
  11. Podejmowanie działań korygujących.
  12. Szkolenie kadry zarządzającej oraz personelu.
  13. Wybór jednostki certyfikującej.
  14. Audyt certyfikujący.

Jakie są korzyści z wdrożenia?

SZBI nie jest tylko podstawą do przyznania kolejnego, ładnego certyfikatu, który możemy powiesić w biurze i pochwalić się nim klientom. Przynosi on realne korzyści przedsiębiorstwu i uchroni nas przed wieloma nieprzyjemnościami, a niekiedy może nawet ocalić naszą firmę przed bankructwem lub nieodwracalną utratą reputacji.

  • Przygotowanie organizacji na incydenty dotyczące bezpieczeństwa informacji oraz skuteczne pokonywanie ich poprzez stosowanie właściwych procedur,
  • Gwarancja, że organizacja spełnia wymogi prawne, do których przestrzegania jest zobowiązana,
  • Zredukowanie ryzyka utraty bądź przejęcia danych,
  • Zapewnienie właściwego poziomu ochrony aktywów informacyjnych,
  • Możliwość szybkiej identyfikacji niezgodności oraz błędów zgodnie z wymaganiami normy,
  • Wzrost wiarygodności organizacji w oczach klientów, kontrahentów i udziałowców co przyczynia się do wzrostu zaufania,
  • Wzrost konkurencyjności organizacji na rynku,
  • Zagwarantowanie bezpieczeństwa interesów klientów poprzez sprawnie funkcjonujący system zarządzania informacją,
  • Zwiększona świadomość pracowników dotyczącej bezpieczeństwa informacji,
  • Możliwość integrowania z innymi normami (np. ISO 9001, ISO 14001).