Jeśli jesteś managerem lub zarządcą firmy, prawdopodobnie wiesz czym jest ISO 27001 i zastanawiasz się czy jego wdrożenie może faktycznie wpłynąć na poprawę bezpieczeństwa danych. Norma opracowana przez Międzynarodową Organizację Normalizacyjną obowiązuje dziś właściwie w każdej branży i niezależnie od rozmiaru firmy może stanowić doskonałą podstawę do stworzenia wewnętrznego systemu zarządzania bezpieczeństwem informacji opartego na przewidywaniu ryzyka, ciągłym monitorowaniu procesów i doskonaleniu działań w celu minimalizacji zagrożeń integralności danych. Nie od dziś wiadomo, że ISO 27001 niesie za sobą ogromne wymagania i w wielu przypadkach oznacza dość diametralne zmiany w podejściu do ochrony informacji w celu osiągnięcia poziomu zgodności z normą i uzyskania certyfikatu ją potwierdzającego. Czy wdrożenie normy w firmie faktycznie wpływa na poprawę bezpieczeństwa informacji danych i jeśli tak, to w jaki sposób?
Co właściwie zawiera ISO 27001 i dlaczego tak wiele firm chce się do normy certyfikować?
Zarządzanie bezpieczeństwem informacji w firmie to jeden z najtrudniejszych obszarów w całym przedsiębiorstwie. Choć wiele organizacji nie zdaje sobie z tego sprawy, informacja jest jednym z najważniejszych aktywów firmy, bo to ona, jeśli użyta przez nieupoważnione strony, może wywołać największe szkody. Zarówno kwestie tak drobne jak szczegółowe techniki pracy na określonych stanowiskach, jak i niezwykle ważne systemy komputerowe, dane personalne klientów czy bilanse finansowe firmy to wszystko informacje mniej lub bardziej krytyczne, których bezpieczeństwa należy za wszelką cenę pilnować, wdrażając do firmy spójny i dobrze zorganizowany system zarządzania bezpieczeństwem informacji i danych. Dlaczego akurat ten oparty o ISO 27001 jest najskuteczniejszy?
Uznany na arenie międzynarodowej standard zawiera wszelkie niezbędne informacje odnośnie tego jak zapewnić bezpieczeństwo w poszczególnych obszarach firmy, jak prowadzić dokumentację, sporządzać politykę bezpieczeństwa, kontrolować i monitorować bezpieczeństwo na poszczególnych stanowiskach pracy, zabezpieczać systemy komputerowe, nośniki danych, kopie zapasowe, informację w postaci wiedzy zasobów ludzkich, czy w końcu jak przewidywać, analizować i eliminować ryzyko. Założenia ISO 27001 opierają się na ciągłym wdrażaniu, kontrolowaniu, analizowaniu i ulepszaniu procesów odpowiedzialnych za zapewnienie bezpieczeństwa informacji poprzez regularne audyty, szkolenia i zaangażowanie ze strony wszystkich stron wchodzących w szeregi firmy.
W jaki sposób ISO 27001 zapewnia bezpieczeństwo informacji
Decydującym czynnikiem ukazującym jak bardzo ISO 27001 wpływa na poprawę bezpieczeństwa informacji i danych w firmie jest jego holistyczne, kompleksowe podejście do zagadnień związanych z bezpieczeństwem i integralnością danych. W przeciwieństwie do popularnego podejścia jednostkowego, wprowadzanie na każdym stanowisku z osobna pojedynczych rozwiązań mających usprawnić i uszczelnić system zabezpieczeń nie jest wystarczającym działaniem. Można wręcz stwierdzić, że podejście to odrzuca pojęcie firmy jako całości i skupia swoją uwagę na miejscach pozornie najbardziej zagrożonych na utratę informacji i danych, pozostawiając inne, mniej strzeżone obszary otwarte na ryzyko i zagrożenia.
Zarządzanie bezpieczeństwem danych w firmie kojarzy się wielu przede wszystkim z teleinformatyką i wszystkimi systemami komputerowymi przechowującymi dane w formie cyfrowej. To właśnie na ich zabezpieczaniu skupia się znaczna część przedsiębiorców. ISO 27001 uczy jednak, że to dopiero przysłowiowy szczyt góry lodowej. Co bowiem stałoby się, gdyby osoba zajmująca się szyfrowaniem danych nagle zapomniała haseł do swoich kont? Co stałoby się, gdyby w ramach nieszczęśliwego wypadku utraciła pamięć? A gdyby zgubiła komputer? Czy firma dba o to, w jaki sposób dane mogą zostać odzyskane? Ich utrata to przecież jedno z największych zagrożeń, które wielu rozpatruje wyłącznie pod względem ewentualnego włamania i cyberataku na serwery. A przecież bezpieczeństwo informacji i danych to także bezpieczeństwo osobowe, prawne i fizyczne – po prostu kompleksowe.
Norma ISO 27001 nie jest zbiorem technicznych wymagań i narzędzi dla poszczególnych branż, a raczej zbiorem zaleceń dotyczących obszarów, które wymagają odpowiedniego regulowania w celu zapewnienia najwyższego poziomu bezpieczeństwa danych. To dzięki takiej konstrukcji firmy mogą dopasować ISO do swoich potrzeb i zamiast całkowicie zmieniać swój system zarządzania na zupełnie odrębny i obcy, udoskonalić ten na którym pracują od lat.
Artykuł powstał przy współpracy ze specjalistą w dziedzinie systemów zarządzania organizacją – ins2outs