BLOG JAKOŚCIOWY

CERTYFIKAT ISO 27001 CO TO JEST?

Bezpieczeństwo informacji. ISO 27001.

CERTYFIKAT ISO 27001 CO TO JEST?

ISO 27001 jest wiodącym międzynarodowym standardem dotyczącym bezpieczeństwa informacji. Został opracowany, aby pomóc organizacjom, dowolnej wielkości i branży, chronić ich informacje w sposób systematyczny i opłacalny, poprzez przyjęcie Systemu Zarządzania Bezpieczeństwem Informacji. Pełna nazwa normy to “ISO/IEC 27001 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania”.

https://pl.wikipedia.org/wiki/ISO/IEC_27001

Ramy ISO 27001

Ramy ISO to połączenie różnych standardów do stosowania przez organizacje. ISO 27001 zapewnia ramy, które pomagają organizacjom, dowolnej wielkości i każdej branży, chronić ich informacje w sposób systematyczny i opłacalny.

Dlaczego ISO 27001 jest ważne?

Norma nie tylko zapewnia firmom niezbędną wiedzę do ochrony ich najcenniejszych informacji, ale firma może również uzyskać certyfikat ISO 27001 i w ten sposób udowodnić swoim klientom i partnerom, że chroni ich dane.

Osoby fizyczne mogą również uzyskać certyfikat ISO 27001, uczestnicząc w kursie i zdając egzamin, a tym samym udowodnić potencjalnym pracodawcom swoje umiejętności we wdrażaniu lub kontrolowaniu systemu zarządzania bezpieczeństwem informacji.

Ponieważ jest to międzynarodowy standard, ISO 27001 jest łatwo rozpoznawany na całym świecie, zwiększając możliwości biznesowe dla organizacji i profesjonalistów.

Co jest celem ISO 27001?

Podstawowym celem ISO 27001 i Systemu Zarządzania Bezpieczeństwem Informacji jest ochrona trzech aspektów informacji:

  • Poufność: Tylko upoważnione osoby mają prawo dostępu do informacji.
  • Integralność: Tylko upoważnione osoby mogą zmieniać informacje.
  • Dostępność: Informacje muszą być dostępne dla upoważnionych osób w każdym przypadku, gdy są potrzebne.

Dlaczego potrzebujemy SZBI?

Istnieją cztery podstawowe korzyści biznesowe, które firma może osiągnąć dzięki wdrożeniu ISO 27001:

  • Zgodność z wymogami prawnymi– Istnieje coraz więcej przepisów, regulacji i wymogów umownych związanych z bezpieczeństwem informacji. Większość z nich można rozwiązać, wdrażając ISO 27001. Wprowadzenie normy zapewnia doskonałą metodę do przestrzegania ich wszystkich.
  • Osiągnij przewagę konkurencyjną– Jeśli Twoja firma uzyska certyfikat, a konkurencja nie, możesz mieć nad nimi przewagę w oczach tych klientów, którzy są wrażliwi na bezpieczeństwo swoich informacji.
  • Niższe koszty– Główną filozofią ISO 27001 jest zapobieganie incydentom związanym z bezpieczeństwem – a każdy incydent, duży lub mały, kosztuje. Dlatego zapobiegając im, Twoja firma zaoszczędzi sporo pieniędzy. A najlepsze jest to, że inwestycja w ISO 27001 jest znacznie mniejsza niż oszczędności, które osiągniesz.
  • Lepsza organizacja– zazwyczaj szybko rozwijające się firmy nie mają czasu na zatrzymanie się i zdefiniowanie swoich procesów i procedur – w konsekwencji pracownicy często nie wiedzą, co należy zrobić, kiedy i przez kogo. Wdrożenie ISO 27001 pomaga rozwiązywać takie sytuacje, ponieważ zachęca firmy do zapisywania swoich głównych procesów umożliwiając im zmniejszenie straconego czasu przez pracowników i utrzymanie krytycznej wiedzy organizacyjnej, która w przeciwnym razie mogłaby zostać utracona, gdy ludzie opuszczają organizację.

Jak działa ISO 27001?

Celem ISO 27001 jest ochrona poufności, integralności i dostępności informacji w firmie. Odbywa się to poprzez ustalenie, jakie potencjalne incydenty mogą się zdarzyć z informacjami, czyli ocenie ryzyka, a następnie określenie, co należy zrobić, aby zapobiec takim incydentom.

Czym są regulatory ISO 27001?

Kontrole ISO 27001 znane również jako zabezpieczenia, to praktyki, które należy wdrożyć w celu zmniejszenia ryzyka do akceptowalnego poziomu. Kontrole mogą być technologiczne, organizacyjne, fizyczne i związane z ludźmi.

Jak wdrażać kontrolę ISO 27001?

Kontrole organizacyjne (załącznik A sekcja A.5) są wdrażane poprzez zdefiniowanie zasad, których należy przestrzegać, a także oczekiwanego zachowania ze strony użytkowników, sprzętu, oprogramowania i systemów. Np. Polityka kontroli dostępu, Polityka BYOD itp.

Kontrole osób (załącznik A sekcja A.6) są realizowane poprzez dostarczanie wiedzy, wykształcenia, umiejętności lub doświadczenia osobom, aby umożliwić im wykonywanie czynności w bezpieczny sposób. Np. szkolenie uświadamiające ISO 27001, szkolenie audytorów wewnętrznych ISO 27001 itp.

Kontrole fizyczne (załącznik A sekcja A.7) są wdrażane przede wszystkim przy użyciu sprzętu lub urządzeń, które mają fizyczną interakcję z ludźmi i przedmiotami. Np. kamery CCTV, systemy alarmowe, zamki itp.

Sterowanie technologiczne (załącznik A sekcja A.8) jest przede wszystkim realizowane w systemach informatycznych, przy użyciu oprogramowania, sprzętu i komponentów oprogramowania układowego dodanych do systemu. Np. tworzenie kopii zapasowych, oprogramowanie antywirusowe itp.

Dwie części normy

Standard jest podzielony na dwie części. Pierwsza główna część składa się z 11 klauzul. Druga część, zwana załącznikiem A, zawiera wytyczne dla 93 celów kontroli.

Klauzule od 0 do 3 głównej części normy (Wprowadzenie, Zakres, Odniesienia normatywne, Terminy i definicje) służą, jako wprowadzenie do normy ISO 27001. Klauzule od 4 do 10, które określają wymagania ISO 27001, są obowiązkowe, jeśli firma chce zachować zgodność z normą.

Załącznik A do normy wspiera klauzule i ich wymagania listą kontroli, które nie są obowiązkowe, ale które są wybierane, jako część procesu zarządzania ryzykiem.

Jakie są wymagania dotyczące ISO 27001?

Wymagania z punktów od 4 do 10 można podsumować :

  • Klauzula 4 ISO 27001 – Kontekst organizacji – Jednym z warunków pomyślnego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest zrozumienie kontekstu organizacji. Należy zidentyfikować i rozważyć kwestie zewnętrzne i wewnętrzne, a także zainteresowane strony. Wymagania mogą obejmować kwestie regulacyjne, ale mogą również wykraczać daleko poza nie. Mając to na uwadze, organizacja musi zdefiniować zakres SZBI.
  • Klauzula 5ISO 27001 – Przywództwo – Wymagania ISO 27001 dotyczące odpowiedniego przywództwa są różnorodne. Zaangażowanie najwyższego kierownictwa jest obowiązkowe dla systemu zarządzania. Cele muszą być ustalone zgodnie ze strategicznym kierunkiem i celami organizacji. Zapewnienie zasobów potrzebnych dla SZBI, a także wspieranie osób w ich wkładzie do SZBI, to inne przykłady obowiązków, które należy spełnić. Ponadto najwyższe kierownictwo musi ustanowić politykę najwyższego poziomu w zakresie bezpieczeństwa informacji. Polityka powinna być udokumentowana, a także przekazana wewnątrz organizacji i zainteresowanym stronom.

Należy również przypisać role i obowiązki, aby spełnić wymagania normy ISO 27001 i raportować wyniki.

  • Klauzula 6 ISO 27001– Planowanie – Planowanie w środowisku SZBI powinno zawsze uwzględniać ryzyko i szanse. Ocena ryzyka bezpieczeństwa informacji stanowi kluczową podstawę, na której można polegać. W związku z tym cele w zakresie bezpieczeństwa informacji powinny opierać się na ocenie ryzyka. Cele te muszą być dostosowane do ogólnych celów firmy i muszą być promowane w firmie, ponieważ zapewniają cele bezpieczeństwa, do których należy dążyć dla wszystkich w firmie i dostosowane do niej. Na podstawie oceny ryzyka i celów ochrony opracowano plan postępowania z ryzykiem oparty na kontrolach wymienionych w załączniku A.
  • Klauzula 7ISO 27001 – Wsparcie – Zasoby, kompetencje pracowników, świadomość i komunikacja są kluczowe dla wspierania SZBI. Kolejnym wymogiem jest dokumentowanie informacji zgodnie z normą ISO 27001. Informacje muszą być dokumentowane, tworzone i aktualizowane, a także kontrolowane. Należy utrzymywać odpowiedni zestaw dokumentacji, w tym plan komunikacji, w celu wspierania powodzenia SZBI.
  • Klauzula 8normy ISO 27001 – Eksploatacja – Procesy są obowiązkowe w celu wdrożenia bezpieczeństwa informacji. Procesy te muszą być zaplanowane, wdrożone i kontrolowane. Ocena i leczenie ryzyka – o których musi pamiętać najwyższe kierownictwo, jak dowiedzieliśmy się wcześniej – muszą zostać wprowadzone w życie.
  • Klauzula 9normy ISO 27001 – Ocena wydajności – Wymagania normy ISO 27001 przewidują monitorowanie, pomiar, analizę i ocenę Systemu Zarządzania Bezpieczeństwem Informacji. Oprócz sprawdzania kluczowych wskaźników wydajności swojej pracy, firma musi przeprowadzać audyty wewnętrzne. Wreszcie, w określonych odstępach czasu, najwyższe kierownictwo musi dokonać przeglądu ISMS i ISO 27001 KPI
  • Klauzula 10normy ISO 27001 – Poprawa – Poprawa następuje po ocenie. Niezgodności należy rozwiązać, podejmując działania i eliminując ich przyczyny. Ponadto należy wdrożyć proces ciągłego doskonalenia. Mimo że cykl PDCA nie jest już wyraźnie wymieniony w ISO 27001, nadal jest zalecany, ponieważ oferuje solidną strukturę i spełnia wymagania ISO 27001.
  • Załącznik A (normatywny) Odniesieniedo kontroli bezpieczeństwa informacji – niniejszy załącznik zawiera wykaz 93 zabezpieczeń (środków kontroli), które można wdrożyć w celu zmniejszenia ryzyka i spełnienia wymogów bezpieczeństwa zainteresowanych stron. Kontrole, które mają zostać wdrożone, muszą być oznaczone, jako mające zastosowanie w deklaracji stosowalności.

Obowiązkowe dokumenty ISO 27001

Norma ISO 27001 określa minimalny zestaw zasad, planów, zapisów i innych udokumentowanych informacji, które są potrzebne do uzyskania zgodności. Dlatego standard wymaga napisania określonych dokumentów i zapisów, które są obowiązkowe dla wdrożenia i certyfikacji ISO 27001.

Certyfikacja ISO 27001

Firma może ubiegać się o certyfikację ISO 27001, zapraszając akredytowaną jednostkę certyfikującą do przeprowadzenia audytu certyfikacyjnego i, jeśli audyt zakończy się pomyślnie, to wydania firmie certyfikatu ISO 27001. Certyfikat ten będzie oznaczał, że firma jest w pełni zgodna z normą ISO 27001.

Osoba może uzyskać certyfikat ISO 27001, przechodząc szkolenie ISO 27001 i zdając egzamin. Certyfikat ten będzie oznaczał, że osoba ta nabyła odpowiednie umiejętności podczas kursu.

Czy ISO 27001 jest obowiązkowe?

W większości krajów wdrażenie ISO 27001 nie jest obowiązkowe. Jednak niektóre kraje opublikowały przepisy, które wymagają od niektórych branż wdrożenia ISO 27001.

Organizacje publiczne i prywatne mogą określić zgodność z normą ISO 27001, jako wymóg prawny w swoich umowach i umowach o świadczenie usług.