certyfikacja
systemów
zarządzania

ISO 27001 – Zarządzanie Bezpieczeństwem Informacji

O normie

ISO/IEC 27001:2013 System Zarządzania Bezpieczeństwem Informacji (ang. ISMS – Information Security Management System) – międzynarodowa norma, określająca wymagania dotyczące tego systemu, cele stosowania zabezpieczeń oraz zabezpieczenia, które powinny być stosowane. Istotą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz implementacja odpowiedniego nadzoru i zarządzania niezbędnego do zachowania poufności, integralności oraz dostępności informacji.

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem ISMS, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami ISMS, przeglądami ISMS oraz ciągłym doskonaleniem ISMS. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania ISMS jest określenie metody oraz przeprowadzenie oceny ryzyka.

Najważniejsze zmiany wprowadzone w nowej normie to:

  • wprowadzenie pojęcia kontekstu organizacji,
  • podkreślenie roli przywództwa oraz wykazania zaangażowania kierownictwa w ISMS,
  • rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji,
  • położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka,
  • wprowadzenie wymagań dotyczących komunikacji,
  • uelastycznienie podejścia do dokumentacji,
  • ściślejsze powiązanie zabezpieczeń i postępowaniem z czynnikami ryzyka,
  • wprowadzenie pojęcia właściciela ryzyka.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A). Załącznik A jest obligatoryjny, zawiera 14 obszarów, mających wpływ na bezpieczeństwo informacji w organizacji.

Dla kogo

Zasadnicze znaczenie w podejmowaniu działań w każdej organizacji ma INFORMACJA.

Norma ISO/IEC 27001 dotyczy zatem każdej organizacji, niezależnie od i jej wielkości, rodzaju prowadzonej działalności oraz bez względu na jej unikatowość, gdyż w każdej z nich przetwarzane są informacje.

Obecnie systemy informatyczne wspierają realizację większości procesów biznesowych. Łatwy dostęp do informacji powoduje niestety szereg zagrożeń. Podstawowy cel ISO/IEC 27001 to ochrona informacji przed bezpowrotna utratą, zniszczeniem, uszkodzeniem lub też przed dostaniem się w „niepowołane ręce”.

Bezpieczeństwo informacji obejmuje: zabezpieczenia informatyczne, zabezpieczenia fizyczne, odpowiednio sformułowane umowy z dostawcami oraz sformalizowane i przetestowane plany ciągłości działania, a także odpowiednio przeszkolony i świadomy zagrożeń personel.

Koszyści

Dlaczego wdrożyć i utrzymywać System Zarządzania Bezpieczeństwem Informacji?

Przede wszystkim dla:

  • porzucenia biurokratycznego podejścia do systemu na rzecz aktywnego jego kształtowania,
  • zmniejszenie ryzyka biznesowego poprzez ograniczenie ryzyka utraty bezpieczeństwa informacji,
  • wzrostu wiarygodności organizacji i zapewnienia, że powierzone, przetwarzane informacje są w odpowiedni sposób chronione,
  • wzmocnienia zabezpieczeń z uwzględnieniem potencjalnych źródeł zagrożeń, jakimi mogą być zarówno ludzie, procesy biznesowe, jak i technologie. Wdrożenie tego systemu wpisuje się w procedury, które umożliwiają organizacji sprawne reagowanie na wszelkie sytuacje kryzysowe,
  • pozyskania nowych rynków i klientów, dla których spełnienie określonych norm jest podstawowym warunkiem do rozpoczęcia współpracy,
  • zapewnienia, że spełnione są wymogi prawne, do których przestrzegania zobowiązana jest organizacja.

Certyfikacja

Uzyskanie certyfikatu ISO /IEC 27001 wydanego przez niezależną jednostkę certyfikującą, daje:

  • potwierdzenie właściwego zarządzania bezpieczeństwem informacji,
  • potwierdzenie stosowania przez organizację wewnętrznych narzędzi kontroli oraz gwarancję spełnienia wymogów zarządzania i ciągłości działania,
  • wzrost wiarygodności – przekonuje klienta, że bezpieczeństwo jego informacji jest w organizacji celem nadrzędnym,
  • potwierdzenie przestrzegania odpowiednich przepisów i prawa,
  • weryfikację prawidłowej identyfikacji i oceny czynników ryzyka oraz zarządzania nimi,
  • ciągły nadzór potwierdza, że system zarządzania bezpieczeństwem informacji jest właściwie utrzymywany i zgodny z wymaganiami.

Jak przebiega proces certyfikacji?

Jakie są warunki certyfikacji?

Warunki przeniesienia certyfikacji

Kontakt
©2021 DAS Polska | Polityka prywatności
realizacja: hotmedia
Ważne! Nasza strona internetowa stosuje pliki cookies, tzw. ciasteczka. Kliknij "Zgadzam się", aby niniejsza informacja nie pojawiała się lub kliknij "Polityka cookies", aby dowiedzieć się więcej.