ISO 27001 jest międzynarodową normą opisującą sposób zarządzania bezpieczeństwem informacji w przedsiębiorstwie. Najnowsza wersja tej normy została opublikowana w 2013 roku i jej pełna nazwa brzmi obecnie ISO/IEC 27001:2013. Cała norma opiera się zaś na pierwszej wersji, którą opublikowano w 2005 roku na podstawie brytyjskiej normy BS 7799-2.
ISO 27001 może być wdrożone w każdym typie organizacji, zarówno w tych nastawionych na zysk, jak i nienastawionych na zysk, prywatnych i publicznych, małych i dużych. Została napisana przez czołowych światowych specjalistów w tej dziedzinie i przedstawia metodologię wdrażania zarządzania bezpieczeństwem informacji w organizacji. Oznacza to, że niezależna jednostka certyfikująca potwierdza, że bezpieczeństwo informacji zostało wdrożone w danej organizacji zgodnie z normą ISO 27001.
Norma ISO 27001 stała się wiodącym światowym standardem w zakresie bezpieczeństwa informacji, a wiele firm potwierdziło jej zgodność z tą normą.
Jak działa norma ISO 27001?
Głównym celem normy ISO 27001 jest ochrona poufności, integralności i dostępności informacji w przedsiębiorstwie. W tym celu bada się, jakie potencjalne problemy mogą mieć wpływ na informacje (ocena ryzyka), a następnie określa się, co należy zrobić, aby zapobiec wystąpieniu tych problemów (ograniczanie ryzyka lub postępowanie z ryzykiem).
Dlatego też główna filozofia normy ISO 27001 opiera się na zarządzaniu ryzykiem: badaniu, gdzie występują ryzyka, a następnie systematycznym ich eliminowaniu.
Wdrożenie ISO 27001
Środki bezpieczeństwa (lub kontrole), które należy wdrożyć, mają zazwyczaj postać polityki, procedur i wdrożenia technicznego (np. oprogramowania i sprzętu). Jednak w większości przypadków firmy posiadają już cały sprzęt i oprogramowanie, ale używają go w sposób niezabezpieczony. Dlatego też większość procesu wdrażania ISO 27001 będzie związana z określeniem zasad organizacyjnych (np. sporządzeniem dokumentów) niezbędnych do zapobiegania naruszeniom bezpieczeństwa.
Ponieważ tego typu wdrożenie będzie wymagało zarządzania wieloma politykami, procedurami, ludźmi, aktywami itp., norma ISO 27001 szczegółowo określa, w jaki sposób połączyć wszystkie te elementy w ramach systemu zarządzania bezpieczeństwem informacji (ISMS).
Tak więc zarządzanie bezpieczeństwem informacji to nie tylko bezpieczeństwo IT (np. firewalle, antywirusy itp.), lecz także zarządzanie procesami, zarządzanie zasobami ludzkimi, ochrona prawna, ochrona fizyczna itp.
Dlaczego norma ISO 27001 jest ważna dla Twojej firmy?
Istnieją co najmniej 4 zasadnicze korzyści biznesowe, jakie firma może odnieść z wdrożenia tego standardu bezpieczeństwa informacji:
- Zgodność z wymaganiami prawnymi – istnieje coraz więcej praw, regulacji i wymagań kontraktowych związanych z bezpieczeństwem informacji. Warto wiedzieć, że większość z nich można rozwiązać poprzez wdrożenie ISO 27001, ponieważ norma ta zapewnia bezproblemową i nieskomplikowaną metodologię pozwalającą na spełnienie wszystkich wymagań.
- Uzyskanie przewagi handlowej – jeśli Twoja firma posiada certyfikat, a konkurencja nie, możesz zyskać przewagę nad konkurencją w oczach klientów, którzy w dzisiejszych czasach są szczególnie zainteresowani utrzymaniem bezpieczeństwa swoich informacji.
- Niższe koszty – podstawową filozofią ISO 27001 jest zapobieganie incydentom bezpieczeństwa, a każdy incydent, niezależnie od tego, czy jest duży czy mały, niesie ze sobą koszty. Dlatego właśnie zapobieganie im pozwoli Twojej firmie zaoszczędzić sporo pieniędzy. I, co najważniejsze, inwestycja w ISO 27001 jest sumarycznie o wiele mniejsza niż oszczędności, które firma osiągnie.
- Dobra organizacja – na ogół szybko rozwijające się firmy nie mają czasu na zatrzymanie się i zdefiniowanie swoich procesów i procedur, w wyniku czego pracownicy często nie wiedzą, co, kiedy i przez kogo ma być zrobione. Wdrożenie normy ISO 27001 pomaga rozwiązać takie sytuacje, zachęcając firmy do spisywania swoich kluczowych procesów (nawet tych, które nie są związane z bezpieczeństwem), co pozwala ograniczyć straty czasu pracowników.
Szkolenie ISO 27001
Popularne na rynku szkolenia z normy ISO 27001 są skierowane do osób takich jak:
- menedżerowie i osoby odpowiedzialne za ochronę i bezpieczeństwo systemów informacyjnych w swojej firmie.
- kierownicy ds. ICT, urzędnicy ds. bezpieczeństwa, personel zarządzający, kierownicy projektów, audytorzy ICT i specjaliści związani z bezpieczeństwem sieci, wsparciem i inżynierią, bezpieczeństwem IT i cyberbezpieczeństwem.
- technicy, menedżerowie i audytorzy systemów zarządzania, którzy chcą rozszerzyć swój zakres zawodowy o zarządzanie bezpieczeństwem informacji.