ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ona opracowana na podstawie brytyjskiej normy BS 7799-2 opublikowanej przez British Standards Institution (najstarszej na świecie jednostki certyfikującej zajmującą się tworzeniem norm) i ogłoszona 14 października 2005 r. W Polsce normę ISO 27001 opublikowano 4 stycznia 2007 r., najnowsze wydanie to ISO/IEC 27001:2022 – opublikowane przez Międzynarodową Organizację Normalizacyjną 25 października 2022 r.
Obszary mające wpływ na bezpieczeństwo informacji w firmie
W normie ISO 27001 wyróżniono czternaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- bezpieczeństwo zasobów ludzkich,
- zarządzanie aktywami,
- kontrola dostępu,
- kryptografia,
- bezpieczeństwo fizyczne i środowiskowe,
- bezpieczna eksploatacja,
- bezpieczna komunikacja,
- pozyskiwanie, rozwój i utrzymanie systemów,
- relacje z dostawcami,
- zarządzanie incydentami związanymi z bezpieczeństwem informacji,
- aspekty bezpieczeństwa w zarządzaniu ciągłością działania,
- zgodność z wymaganiami prawnymi i własnymi standardami.
Fakt, iż dana organizacja posiada certyfikat ISO 27001 świadczy w ogromnej mierze m.in. o tym, że wymienione wyżej obszary są uporządkowane, cyklicznie audytowane i w razie potrzeby udoskonalane. Właściwe zarządzanie systemem bezpieczeństwa informacji jest jednym z fundamentalnych czynników wpływającym na optymalne i efektywne funkcjonowanie firm w tym zakresie.
Wymagania ISO 27001
Organizacja, która chce uzyskać lub utrzymać certyfikat ISO 27001, musi spełnić poniższe wymagania:
- systematyczne banie ryzyka związanego z bezpieczeństwem informacji w organizacji (uwzględniając zagrożenia, słabe punkty i skutki pojawienia się potencjalnych zagrożeń);
- planowanie oraz wdrażanie spójnego i kompleksowego systemu kontroli bezpieczeństwa informacji w celu przeciwdziałania zagrożeniom, które są uważane za nieakceptowalne dla organizacji;
- wdrożenie procesu zarządzania zapewniającego, że mechanizmy kontroli bezpieczeństwa informacji będą na bieżąco spełniały potrzeby organizacji w zakresie bezpieczeństwa informacji.
Firmy czy instytucje, które chcą i potrafią sprostać wymaganiom tej normy muszą zatem działać w sposób proaktywny i dokonywać ciągłej ewaluacji procedur oraz rozwiązań chroniących poufne dane.
Norma ISO 27001 – obligatoryjna czy dobrowolna w branży IT?
Warto podkreślić, że wdrożenie normy ISO 27001 jest w organizacjach dobrowolne, niezależnie od rodzaju działalności czy branży. Wiele firm decyduje się jednakże na uzyskanie certyfikatu (a następnie na audyty recertyfikujące). Dlaczego jest to dla nich istotne i korzystne? Regulacje normy określają wymogi w wymienionych wcześniej obszarach mających wpływ na bezpieczeństwo informacji. Dla ogromnej liczby podmiotów, zwłaszcza działających w strategicznych sektorach gospodarki, przetwarzających dane wrażliwe – posiadanie certyfikatu ISO 27001 jest niejako gwarancją, że firma, z którą chcą nawiązać współpracę, spełnia standardy bezpieczeństwa na międzynarodowym poziomie. Pokazuje ponadto zaangażowanie w zapewnienie bezpieczeństwa informacji wobec stron trzecich i interesariuszy. Dla wielu firm i instytucji jest to czynnik niezbędny w ustanowieniu relacji pomiędzy podmiotami, np. zawierającymi ze sobą umowy. Co istotne – powoływanie się na normę przez strony umowy oszczędza czas przy uszczegóławianiu i doprecyzowywaniu wymogów wykonania/odbioru usługi.
Podsumowując – wdrożenie ISO 27001 nie jest obligatoryjne, ale praktyka pokazuje, że w wielu przypadkach otwiera pewne drzwi czy znacząco ułatwia współpracę z klientami – zwłaszcza w dobie zwiększającej się od kilkunastu lat liczby cyberataków. Bez wątpienia pomaga także w utrzymywaniu bardzo dobrych relacji, opartych na dbałości o jakość i bezpieczeństwo. Nie bez powodu posiadanie certyfikatu ISO 27001 jest często nazywane przez menedżerów „paszportem do biznesu”.
Bezpieczeństwo na pierwszym miejscu
Trudna sytuacja na światowej arenie geopolitycznej, zwiększająca się liczba ataków hakerskich i innych przestępstw w obszarze cyberbezpieczeństwa powoduje, że firmy i instytucje powinny wdrażać wszelkie możliwe środki w celu zapewnienia szeroko rozumianego bezpieczeństwa, w tym także bezpieczeństwa informacji. Posiadany przez Polcom certyfikat ISO 27001 to jeden z dowodów, że firma wypełnia międzynarodowe normy w tym obszarze.
Kompleksowy nadzór nad procesami przetwarzania danych, cyklicznie prowadzona analiza ryzyka, udoskonalanie procedur w systemie zarządzania bezpieczeństwem informacji, a także rozwiązań w obszarze infrastruktury technicznej naszych data center ma na celu zapewnienie 100% poufności, integralności i dostępności danych powierzonych przez naszych Klientów. Nieustannie pracujemy nad tym, aby zapewnić bezpieczeństwo i jakość na najwyższym poziomie.