Bezpieczeństwo informacji w firmie - jak spełnić wymagania normy ISO 27001

Norma 27001 - czego wymaga od organizacji?

Norma 27001 to międzynarodowy standard określający wymagania dla systemu zarządzania bezpieczeństwem informacji, znany pod pełną nazwą ISO/IEC 27001. Jej celem jest zapewnienie poufności, integralności i dostępności informacji przetwarzanych w organizacji.

Wdrożenie normy 27001 zaczyna się od inwentaryzacji aktywów informacyjnych - czyli wszystkiego, co organizacja przetwarza i co wymaga ochrony. Na tej podstawie przeprowadza się ocenę ryzyka: identyfikuje zagrożenia, szacuje prawdopodobieństwo ich wystąpienia i potencjalne skutki. Wyniki oceny ryzyka decydują o doborze zabezpieczeń opisanych w deklaracji stosowania normy, który obejmuje 93 kontrole podzielone na cztery obszary tematyczne.

Ważne jest, że ISO 27001 nie jest normą wyłącznie dla firm z obszarów ICT. Dotyczy całej organizacji - jej procesów oraz usług, infrastruktury fizycznej, wirtualnej i chmurowej, a także dokumentacji. Wymaga ustanowienia polityki bezpieczeństwa informacji, przypisania ról i odpowiedzialności oraz regularnego monitorowania skuteczności wdrożonych zabezpieczeń.

Jak przebiega certyfikacja systemów zarządzania bezpieczeństwem informacji?

Certyfikacja systemów zarządzania bezpieczeństwem informacji ma swoją specyfikę, która odróżnia ją od audytów w obszarze jakości czy środowiska. Kluczowym dokumentem jest Deklaracja Stosowalności (Statement of Applicability, SoA) - organizacja musi w niej wskazać, które kontrole z Załącznika A wdrożyła, które wyłączyła i z jakiego powodu.

Proces certyfikacji systemów zarządzania przebiega dwuetapowo. W pierwszym etapie audytor ocenia dokumentację i gotowość systemu. Drugi etap to audyt wdrożenia, czyli weryfikacja, czy zabezpieczenia faktycznie działają i czy organizacja monitoruje ich skuteczność.

Szkolenia dla audytorów i pełnomocników - kto odpowiada za system w organizacji?

Za sprawne funkcjonowanie systemu zarządzania bezpieczeństwem informacji odpowiadają dwie kluczowe role. Pierwszą jest Pełnomocnik ds. Bezpieczeństwa Informacji - osoba nadzorująca wdrożenie i utrzymanie systemu, koordynująca ocenę ryzyka i kontaktująca się z jednostką certyfikującą. Drugą jest audytor wewnętrzny, który cyklicznie weryfikuje, czy system działa zgodnie z wymaganiami normy.

Obie funkcje wymagają formalnego przygotowania. Szkolenia dla audytorów i pełnomocników obejmują zazwyczaj wymagania normy ISO 27001, metodykę oceny ryzyka, techniki audytowania oraz zasady tworzenia Deklaracji Stosowalności. Szkolenia dla audytorów i pełnomocników prowadzone przez doświadczonych praktyków pozwalają uniknąć typowych błędów wdrożeniowych - zbyt ogólnej oceny ryzyka, niekompletnej SoA czy braku dowodów skuteczności zabezpieczeń.