ISO 27001:2013
ISO 27001:2013
Bezpieczeństwo informacji to obecnie gorący temat;żadna firma ani organizacja nie jest całkowicie odporna na cyberataki lub naruszenia ochrony danych. Ponadto europejskie rozporządzenie o ochronie danych (RODO) zwane też ogólnym rozporządzeniem o ochronie danych nakłada szereg obowiązków mających na celu lepszą ochronę danych obywateli UE w toku ich przetwarzania.
Odpowiednie bezpieczeństwo informacji jest zatem koniecznością dla współczesnych firm. By lepiej kontrolować te zagrożenia, należy wdrożyć system zarządzania bezpieczeństwem informacji oparty na normie ISO 27001:2013. ISO 27001:2013 norm.
Czym jest norma ISO 27001?
ISO 27001 to międzynarodowa norma bezpieczeństwa informacji. Ważną podstawą do uzyskania certyfikatu zgodności z tą normą jest wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), aby uwzględnić bezpieczeństwo informacji oparte na procesach. Aby to osiągnąć, norma ISO 27001 obejmuje szereg wymagań dotyczących sposobu tworzenia, oceny i ciągłego doskonalenia skutecznego SZBI. Cel: zapewnienie poufności, dostępności i integralności wszystkich danych w Twojej organizacji.
- Poufność – dostęp do informacji mają wyłącznie upoważnione osoby.
- Integralność – informacje są dokładne, pełne i poprawne.
- Dostępność – informacje są dostępne w odpowiednim czasie i terminie.
Certyfikat zgodności z normą ISO27001 jest niezbędnym wyróżnikiem jakości dla wielu firm funkcjonujących w świecie opartym na technologii i danych. Klienci, dostawcy i pracownicy mogą ufać , że Twoja organizacja podjęła środki zapobiegające zagrożeniom związanym z bezpieczeństwem informacji i że traktujesz dane osobowe z należytą starannością , co zostało potwierdzone przez niezależny podmiot.
Zazwyczaj firmy mają pod kontrolą cały sprzęt i oprogramowanie, ale bezpieczeństwo informacji to nie tylko bezpieczeństwo systemów informatycznych (np. zapory sieciowe, oprogramowanie antywirusowe itp.) – to także kontrola procesów, ochrona prawna, kontrola zasobów ludzkich, ochrona fizyczna itp. Znaczna część systemu zarządzania w normie ISO 27001 sprowadza się zatem do określenia wytycznych organizacyjnych niezbędnych do zapobiegania naruszeniom bezpieczeństwa informacji.
ISO 27001:2013
ISO 27001 to międzynarodowa norma opublikowana przez Międzynarodową Organizację Normalizacyjną (ISO), przygotowana na podstawie brytyjskiej normy BS 7799-2. Ten dokument normalizacyjny – podobnie jak w przypadku innych norm z zakresu zarządzania – był wielokrotnie zmieniany i aktualizowany przez komitet ekspertów na przestrzeni lat. Komitet może podjąć decyzję o zmianie lub wycofaniu normy.
Pierwsza aktualizacja normy nastąpiła w 2005 r., a jej najnowsza wersja została opublikowana w 2013 r. – zmieniono jej strukturę na strukturę podstawową (HLS) , aby działała w ramach tej samej jednolitej struktury podstawowej.
Najnowsza wersja normy w języku holenderskim to NEN-EN-ISO/IEC 27001:2013 Systemy zarządzania bezpieczeństwem informacji – Wymagania. „NBN” to skrót oznaczający Biura Normalizacyjnego, belgijski organ rządowy odpowiedzialny za opracowywanie norm w Belgii. Skrót „EN” odnosi się z kolei do europejskiej publikacji wydanej przez CEN-CENELEC. Rok to wersja normy.
Dlaczego warto uzyskać certyfikat zgodności z normą ISO 27001?
Certyfikat zgodności z normą ISO 27001 pozwoli Ci wykonać dodatkowy krok w zakresie bezpieczeństwa informacji. Certyfikat daje Twoim klientom pewność, że traktujesz bezpieczeństwo informacji poważnie, co wyróżnia Cię na tle konkurencji i zmniejsza ryzyko związane z bezpieczeństwem.
W dzisiejszych czasach każdy chce mieć pewność, że dane organizacji znajdują się w bezpiecznych rękach. Certyfikat zgodności z normą ISO 27001 daje firmie wiarygodność i wizerunek podmiotu, który ostrożnie obsługuje dane osobowe oraz przestrzega przepisów ustawowych i wykonawczych. W ten sposób położysz fundament pod silną relację opartą na zaufaniu.
Istnieje coraz więcej przepisów ustawowych, wykonawczych oraz wymogów umownych dotyczących bezpieczeństwa informacji - jak np. RODO. Dobra wiadomość jest taka, że norma ISO 27001 dostarcza idealną metodologię do spełnienia tych wymagań. Utrzymanie SZBI zapewnia więc również zgodność z przepisami prawa.
Coraz więcej klientów wymaga od swoich partnerów handlowych odpowiedniego poziomu bezpieczeństwa informacji. Certyfikat zgodności z normą ISO 27001 daje im tę pewność. Nie tylko poprawi on Twój wizerunek, ale również może otworzyć nowe możliwości handlowe i pomóc wygrywać przetargi.
Utrata reputacji i klientów może oznaczać poważne straty finansowe. Certyfikowany system SZBI pozwala zmniejszyć ryzyko wykorzystania informacji niezgodnie z przeznaczeniem oraz zachować nieustanną czujność wobec zagrożeń bezpieczeństwa dzięki ciągłemu wykrywaniu i usuwaniu słabych punktów w zabezpieczeniach.
Treść normy ISO 27001
Norma ISO 27001 - podobnie jak większość norm ISO - została opracowana zgodnie zasadą zharmonizowania (HS), co oznacza, że normy te mają wspólny tekst podstawowy i jednakową strukturę. Dzięki temu zagadnienia poruszane w poszczególnych normach zawsze znajdują się w tym samym miejscu (ten sam rozdział i punkt).
Norma składa się z 11 rozdziałów wskazanych poniżej. Pierwsze cztery rozdziały (od 0 do 3) zawierają ogólne informacje, podczas gdy rozdziały od 4 do 10 opisują istotę normy, tj. jej wymagania.
| Rozdział 0: Wprowadzenie | Rozdział 6: Planowanie |
| Rozdział 1: Zakres | Rozdział 7: Wsparcie |
| Rozdział 2: Powołania normatywne Rozdział | 8: Wprowadzanie w życie |
| Rozdział 3: Definicje | Rozdział 9: Ocena |
| Rozdział 4: Kontekst organizacji | Rozdział 10: Doskonalenie |
| Rozdział 5: Przywództwo |
Dla kogo przeznaczona jest norma ISO 27001?
Norma ISO 27001 jest przydatna dla każdej organizacji, która chce pokazać, że poważnie podchodzi do kwestii bezpieczeństwa informacji.Mogą to być dane klientów, dane z systemu produkcyjnego, dane z laboratorium badawczo-rozwojowego lub raporty finansowe. W rezultacie, SZBI ISO 27001 może zostać wdrożony nie tylko w firmach z branży usług teleinformatycznych, ale także w bankach, zakładach ubezpieczeń, instytucjach rządowych, placówkach opieki zdrowotnej, organizacjach non-profit i innych firmach, które posiadają lub przetwarzają informacje poufne.
Bezpieczeństwo informacji to nie tylko bezpieczeństwo systemów informatycznych (np. zapory sieciowe, oprogramowanie antywirusowe itp.) – to także kontrola procesów, ochrona prawna, wdrażanie środków organizacyjnych, ... Z certyfikatu zgodności z normą ISO 27001 może więc skorzystać nie tylko administrator systemów informatycznych,ale cała organizacja.
Seria norm ISO 27000
Mimo że ISO 27001 jest jedyną certyfikowaną normą z serii 27000, przydatne może być stosowanie standardu zarządzania w połączeniu z innymi normami z tej samej serii. Normy z serii ISO 27000 pomagają m.in. zarządzać bezpieczeństwem informacji finansowych, własności intelektualnej, danych pracowników lub informacji powierzonych przez osoby trzecie. Seria składa się m.in. z następujących norm i wytycznych:
- ISO 27000 „Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i słownictwo”
- ISO 27002 „Technologia informacyjna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji”
- ISO 27018 „Technika informatyczna -- Techniki bezpieczeństwa -- Praktyczne zasady ochrony informacji o identyfikowalnych osobach (PII) w chmurach publicznych działających jako przetwarzający PII”
- ISO 27701 „Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
ISO 27002 zapewnia możliwość dogłębnego zapoznania się z normą ISO 27001. Wynika to z faktu, że norma ta zawiera szczegółowe informacje na temat środków, jakie można podjąć w celu spełnienia wymagań wynikających z normy ISO 27001. O ile ISO 27001 jest dokumentem krótkim i zwięzłym, o tyle ISO 27002 zawiera znacznie więcej informacji i szczegółów.