Czy norma ISO 27001 jest obowiązkowa w zarządzaniu systemem informacji?

Obowiązek wdrożenia ISO 27001

Norma Zarządzania systemem bezpieczeństwa informacji ISO/IEC 27001 obecnie nie jest obligatoryjna dla wszystkich, a zdecydowała o tym Ustawa o normalizacji z dn. 12 września 2002 (t.j. Dz.U.2015.1483). Czasy, w których wprost nakazywało się stosowanie norm skończyły się wraz z zakończeniem epoki centralnej gospodarki. Dzisiaj jest wolność (czyt. dowolność) w stosowaniu norm. Opinia w tej kwestii wydana przez Polski Komitet Normalizacyjny jest jednoznaczna i znalazła swój wymiar w przytoczonej ustawie w art.5 ust.3 cyt.” Stosowanie Polskich Norm jest dobrowolne”.

Dlaczego wobec takiej dobrowolności prawnej organizacje jednak decydują się na wdrożenia norm?

Aby wskazać tutaj właściwą odpowiedź należy wykorzystać samą definicję normy zaczerpniętą na potrzeby tego artykułu ze słownika zamieszczonego  w przytoczonej Ustawie, który  normalizację  rozumie cyt. „jako działalność zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów (t.j. Dz.U.2015.1483 art. 2 ust.1)”.

Open box with three red folders, 3d image

I ta definicja stanowi o sile zastosowania norm w organizacji. Organizacja wdrażając normę ma mieć standard, sprawdzone i dobre praktyki oraz gwarancję uniwersalności norm bez względu na specyfikę organizacji. Według norm, nie ma organizacji, które swoim działaniem odbiegają od standardów, mają swoją niezaszufladkowaną specyfikę działania, a w związku z tym normy w rozumieniu prawnym dają im poczucie właściwego funkcjonowania (zarządzania) organizacji.

Jest jeszcze jeden aspekt stosowania norm. Jak dało się powyżej ustalić, norma nie jest obligatoryjna lecz norma jest dobrowolna, ale regulacje normy pozwalają na określenie wymogów niezbędnych w ustanowieniu relacji pomiędzy stronami np. zawierającymi ze sobą umowy. Powoływanie się na normę przez strony umowy oszczędza np. czas przy uszczegóławianiu i doprecyzowywaniu wymogów wykonania (odbioru) usługi.

Przedstawiając przykład zastosowania norm w naszym prawodawstwie, to Ustawodawca bardzo często stawia wymóg spełnienia określonej normy, zgodnie z którą należy realizować przedsięwzięcia, zadania czy też usługi (np. w budownictwie, medycynie, telekomunikacji, przemyśle spożywczym itd.).
Ustawodawca również zadbał o stosowanie odpowiednich norm związanych z bezpieczeństwem IT, które w jego zamyśle mają stać się standardem wobec budowanego Krajowego Systemu Cyberbezpieczeństwa.

Powołanie się w art.15 Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U.2018.1560) oraz Rozporządzeniu z dn. 18 października 2019r (Dz.U.2018.1999) na cechy usług audytorskich związanych z normami stanowi właściwy dowód uznaniowy dla zachowania standardów między uczestnikami Krajowego Systemu Cyberbepieczeństwa.

Jak widać z przytoczonych aktów prawnych organizacja do czynności wymaganych Ustawowo powinna zatrudnić i wykorzystać wiedzę specjalistów posiadających tylko certyfikowane wg. norm kompetencje. A tym samym nie wystarczy już dotychczasowa wiedza specjalistyczna pracowników etatowych (zwykle działów IT), których organizacja zamierzałaby wykorzystać do budowy Krajowego Systemu Cyberbezpieczeństwa. Należy jeszcze zachować kompatybilność na skalę kraju i tę kompatybilność powinny zapewnić normy.

Można jeszcze przytoczyć sytuację problematyczną, gdzie jest brak wdrożonych standardów w organizacji (norm) i sytuacja wymusza zarządzanie incydentem, który jak wiemy może spowodować wymierne straty. Zwykle rozstrzygnięcie sporów i ustalenia winnych odbywa się na drodze śledczej, a w konsekwencji sądowej. I tu dochodzimy do zasadności stosowania norm.

Biegli sądowi oceniając zdarzenie w swoich pracach badawczych i opiniotwórczych będą z pewnością bazować na normach jako standardach pozwalających uniknąć zdarzeń lub też minimalizować ich skutki działania.

Podsumowując powyższe należy stwierdzić, szukając analogii w przysłowiu: „…pieniądze szczęścia nie dają, ale do szczęścia są bardzo potrzebne…”, że choć normy nie są obowiązkowe to jednak są w działalności organizacji niezbędne.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
Czytaj, oglądaj, subskrybuj
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.