ISO/IEC 27001 jest międzynarodową normą wydaną przez Międzynarodową Organizację Normalizacyjną (ISO) i opisuje sposób zarządzania bezpieczeństwem informacji w przedsiębiorstwie. Najnowsze brzmienie tej normy zostało wydane w 2013 roku.

Dla kogo ISO/IEC 27001?

ISO/IEC 27001 może być wdrożone w każdym typie organizacji, zarówno w tych nastawionych na zysk, jak i nienastawionych na zysk, prywatnych i publicznych, małych i dużych. Norma została napisana przez najlepszych światowych specjalistów w tej dziedzinie i zawiera metodologię wdrażania zarządzania bezpieczeństwem informacji w organizacji. Umożliwia również certyfikację firmy, co oznacza, że niezależna jednostka certyfikująca potwierdza, że bezpieczeństwo informacji zostało wdrożone w danej organizacji zgodnie z normą ISO/IEC 27001.

ISO/IEC 27001 stała się wiodącą światową normą w zakresie bezpieczeństwa informacji, a wiele firm potwierdziło swoją zgodność z tą normą. Główna filozofia ISO/IEC 27001 opiera się na zarządzaniu ryzykiem: należy zbadać, gdzie występują zagrożenia, a następnie systematycznie się nimi zajmować. Procedury zastosowane zgodnie z normą pozwalają zoptymalizować działanie i funkcjonowanie danego przedsiębiorstwa, jak chociażby straty w czasie pracy pracowników, obniżając również koszty ponoszone przez przedsiębiorstwo.

Na czym polega norma?

Środki bezpieczeństwa lub kontrole, które należy wdrożyć, mają zazwyczaj postać polityk, procedur i wdrożenia technicznego (np. oprogramowanie i sprzęt). Jednak w większości przypadków firmy posiadają już cały sprzęt i oprogramowanie, lecz wykorzystują je w sposób niezabezpieczony. Dlatego też większość procesu wdrażania ISO/IEC 27001  jest związana z określeniem zasad organizacyjnych niezbędnych do tego, by zapobiec naruszeniom bezpieczeństwa.

Jako że tego typu wdrożenie będzie wymagało zarządzania wieloma politykami, procedurami, ludźmi, itp., norma ISO/IEC 27001 szczegółowo określa, w jaki sposób połączyć wszystkie te elementy w ramach systemu zarządzania bezpieczeństwem informacji. Zarządzanie bezpieczeństwem informacji to nie tylko bezpieczeństwo IT (antywirusy, firewalle itp.), ale m.in. również zarządzanie procesami, zasobami ludzkimi, ochrona prawna i fizyczna.

Ile trwa wdrożenie ISO/IEC 27001?

Wdrożenie normy jest zależne od czynników takich jak ilość pracowników w firmie, ilość działów, ilość lokalizacji i od tego czy jakiekolwiek normy bezpieczeństwa były już wcześniej wdrażane.

Aby wdrożyć ISO 27001 w firmie, należy postępować krok po kroku zgodnie z poniższymi wskazówkami:

• uzyskanie wsparcia kierownictwa,
• określenie zakresu wdrożenia i stosowanej metodologii,
• przygotowanie projektu polityki bezpieczeństwa informacji wysokiego stopnia,
• określenie metodologii oceny ryzyka,
• przeprowadzenie oceny ryzyka i postępowania z ryzykiem,
• sporządzenie projektu oświadczenia o stosowaniu,
• sporządzenie planu postępowania z ryzykiem,
• określenie sposobu pomiaru skuteczności kontroli i systemu,
• wdrożenie wszystkich niezbędnych kontroli i procedur,
• wdrożenie programów szkoleniowych,
• wykonywania wszystkich codziennych operacji zgodnie ze sporządzoną dokumentacją,
• monitorowanie bezpieczeństwa w firmie,
• przeprowadzenie audytu,
• wdrożenie działań korygujących.

Pomoc certyfikowanych jednostek

Jako że samo wdrożenie normy ISO/IEC 270001 niesie ze sobą wiele korzyści biznesowych dla przedsiębiorstwa takich jak chociażby zgodność z wymaganiami prawnymi, przewaga na rynku, niższe koszty prowadzenia firmy czy lepsza organizacja pracy, należy przeprowadzić ten proces profesjonalnie po to, by uniknąć błędów w procedurach, które mogłyby utrudnić funkcjonowanie działalności. Dlatego też warto w tym celu skorzystać z pomocy specjalistów, którzy na co dzień zajmują się wdrażaniem norm i innych procedur tego typu.