ISO 27001 to norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji. Organizacje decydują się na jej wdrożenie ze względów bezpieczeństwa i wizerunkowych, ale nie każda jest przekonana do certyfikacji. W artykule przybliżamy, jakie korzyści daje certyfikat ISO 27001 i jak można go uzyskać.

Zanim napiszemy, czy warto decydować się na certyfikację ISO/IEC 27001, kilka słów o samej normie. Skrót ISO pochodzi od angielskiego „International Organization for Standardization”, co tłumaczymy jako Międzynarodowa Organizacja Normalizacyjna. Zadaniem organizacji jest opracowanie norm jakości, które dotyczą praktycznie każdej dziedziny, z jaką zmagają się współczesne przedsiębiorstwa i organizacje. Federację ISO współtworzą niezależni członkowie (po jednym z każdego państwa) i nie podlega wpływom rządu, korporacji, organizacji czy przedsiębiorców.

Norma ISO 27001 jest obecnie najbardziej rozpoznawalną międzynarodową normą dla systemów zarządzania informacją. Szczegółowo określa wymagania dotyczące wdrożenia, utrzymania, monitorowania i doskonalenia tego systemu, co pozwala chronić dane, w tym finansowe i prawne, oraz uniemożliwiać np. identyfikację osób.

Norma ISO/IEC 27001 reguluje zasady polityki bezpieczeństwa, klasyfikacji aktywów, warunków pracy, kontroli dostępu do systemu informatycznego, jego utrzymywania i rozwoju.

Organizacja, która ma wdrożony system zarządzania bezpieczeństwem informacji zgodny z normą ISO/IEC 27001, poświadcza, że jej polityka bezpieczeństwa spełnia określone i rygorystyczne wymagania co do przetwarzanych danych. Zyskuje przez to wizerunkowo, ponieważ pokazuje, że odpowiednio zabezpiecza informacje i aktywa. Jeśli dodatkowo może pochwalić się certyfikatem, wówczas zwiększa swoje szane na nowe, wartościowe umowy, np. z zamówień publicznych, gdzie często ten certyfikat jest wymagany.

Potrzeba ochrony danych w organizacji wydaje się dość oczywista, zwłaszcza jak mówimy o takich danych jak finansowe, kadrowe, osobowe czy o tych dotyczących tajemnicy zawodowej. Pierwszym skojarzeniem co do konieczności stosowania specjalnych procedur ochrony danych są urzędy, szpitale i inne jednostki państwowe. Faktem jednak jest, że zarządzanie bezpieczeństwem informacji dotyczy również firm i organizacji, zarówno tych małych i prywatnych, jak i zależnych od Skarbu Państwa. Pytanie tylko, czy za wdrożeniem ISO 27001 powinna iść certyfikacja?

Certyfikat ISO 27001 staje się coraz bardziej popularny, co cieszy, ponieważ dowodzi tego, że coraz więcej firm zdaje sobie sprawę z roli, jaką odgrywa bezpieczeństwo informacji. Nie zmniejsza to jednak jego prestiżu – wręcz przeciwnie. Jest rozpoznawalny i odczytywany jako znak jakości, którym mogą pochwalić się tylko te jednostki, które pozytywnie przeszły rygorystyczny proces certyfikacji.

Uzyskaniem certyfikatu ISO 27001 organizacje udowadniają, że aktywnie angażują się w zarządzanie i ochronę informacji oraz zapewniają ich zgodność z wymaganiami prawnymi.

Certyfikat ISO 27001 jest zwieńczeniem całego zbioru działań. Aby w ogóle mówić o certyfikacji, należy wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) zgodny z wymaganiami normy ISO 27001 i poddać się procesowi certyfikacji (audytowi). Przed poddaniem się certyfikacji warto zlecić niezależny audyt, który sprawdzi, czy wdrożony system jest zgodny z ISO 27001.

PBSG pomaga firmom i organizacjom w uzyskaniu certyfikatu. Przeprowadzamy audyt, który sprawdza skuteczność wdrożenia SZBI, i przygotowujemy raport z rekomendacjami i działaniami korygująco-naprawczymi, które są kluczowe z punktu widzenia bezpieczeństwa informacji. Zapewniamy również wsparcie poaudytowe, które obejmuje pomoc we wdrożeniu wymaganych zmian i asystę przy certyfikacji.

Więcej informacji uzyskasz tutaj: Certyfikacja ISO 27001 z PBSG

Wdrożenie ISO składa się z kilku etapów, w tym wymaga szkolenia dla kadry zarządzającej oraz pracowników. Oprócz zwiększenia świadomości co do bezpiecznego zarządzania informacją kluczowe jest ulepszenie komunikacji wewnątrz firmy, co w rezultacie uprawnia procesy decyzyjne. Jeżeli chodzi o PBSG, to każda firma i organizacja decydująca się na wdrożenie ISO z ewentualną późniejszą certyfikacją, ma wyznaczonego konsultanta, który prowadzi przez poszczególne etapy wdrożenia SZBI.

Etap 1. Audyt wstępny z identyfikacją wymagań prawnych, biznesowych i analiza aktywów.

Etap 2. Opracowanie i wdrożenie dokumentacji systemu zarządzania bezpieczeństwem informacji.

Etap 3. Szkolenie dla wyznaczonych pracowników, w tym administratora bezpieczeństwa informacji, audytorów wewnętrznych i kadry zarządczej.

Krok 4. Audyt systemu zarządzania bezpieczeństwem informacji ze wskazaniem działań korygujących i zapobiegawczych pod kątem normy ISO 27001.

Krok 5. Wsparcie poaudytowe i asysta podczas audytu certyfikującego SZBI.

Zaletą wdrożenia systemu zarządzania bezpieczeństwem informacji według ISO 27001 jest to, że można go łatwo zintegrować z systemem zarządzania jakością według ISO 9001. Wszystko dlatego, że wymagania obu norm są zbieżne, co pozwala znacząco ograniczyć koszty wdrożenia SZBI.

Sam koszt wdrożenia normy ISO 27001 zależy od wielu czynników, jak na przykład wielkość i struktura organizacji, branża, otoczenie rynkowe i złożoność procesów, które w niej zachodzą. Każdy projekt audytu przygotowującego do certyfikacji składa się z kilku etapów i jest wyceniany indywidualnie. Dotyczy to również przygotowań do certyfikacji 27001.

Warto tutaj zaznaczyć, że na koszt certyfikacji składa się praca audytorów, których zadaniem jest odwiedzenie danej firmy/organizacji (lub jej kilku lokalizacji), sprawdzenie dokumentacji systemowej, przeprowadzenie wywiadów, przyjrzenie się bieżącej pracy, a także wskazanie obszarów do ulepszenia. Z tego też względu koszt może być różny.

Dlaczego warto skorzystać z naszego wsparcia? Jesteśmy doświadczoną jednostką audytującą, która pomaga firmom i organizacjom z różnych branż uzyskać certyfikaty ISO. W 2007 roku przygotowaliśmy PKO BP SA do certyfikacji systemu bezpieczeństwa informacji ISO 27001 – była to pierwsza certyfikacja systemu bezpieczeństwa informacji w Polsce w sektorze bankowym. Zapewniamy, że nasi audytorzy mają wieloletnie doświadczenie, doskonale znają normy i specyfikę danej branży. Po wycenę zapraszamy do kontaktu.