Certyfikat PN-EN ISO/IEC 27001:2022-10

 

 

ISO/IEC 27001 - co to jest?

 

W największym skrócie można rzec, iż norma ISO/IEC 27001 dotyczy Zarządzania Systemem Bezpieczeństwa Informacji i ma na celu zapewnienie odpowiedniej ochrony przechowywanych oraz przetwarzanych informacji publicznych. Certyfikacji ISO 27001 podlegają przede wszystkim instytucje, takie jak firmy informatyczne, banki, placówki oświatowe i medyczne, a także organizacje administracji publicznej. Celem tych jednostek jest zapewnienie możliwie najwyższego stopnia bezpieczeństwa przetwarzanych informacji w taki sposób, aby były w odpowiedni sposób chronione przed dostępem osób trzecich. Dzięki temu możliwe będzie odpowiednie zabezpieczenie wszelkich poufnych lub ściśle tajnych informacji. W czasie przeprowadzania audytu certyfikującego badany podmiot ma za zadanie przedstawić wszystkie procedury, jakie są wykonywane podczas przetwarzania i przechowywania danych. Dzięki temu możliwe będzie zweryfikowanie poprawności przeprowadzania wszelkich procesów. Docelowo ma to poskutkować możliwie najbardziej zabezpieczonymi informacjami znajdującymi się w danej organizacji.

Dzięki sprawdzonym i zweryfikowanym procedurom postępowania określonym w normie ISO 27001 znacząco maleje ryzyko wycieku informacji. Badaniu podlegają przede wszystkim używane systemy informatyczne, ale oprócz tego również obowiązujące procedury.

 

Podstawowe założenia system ISO 27001

 

Adresatami normy są jak wyżej wspomniano głównie firmy informatyczne, podwykonawcy usług informatycznych, banki, placówki oświatowe i medyczne, organizacje administracji publicznej. Wdrożenie oraz posiadanie certyfikowanego systemu zgodnie z normą PN-ISO 27001:2022-10 przyczynia się do poprawy działalności organizacji poprzez: organicznie popełnianych błędów, zmniejszenie kosztów związanych z brakiem przejrzystości dokumentacji, zapewnienie bezpieczeństwa dla zasobów informatycznych, wzmocnienie budowy zaufania klientów, poprawa kontroli nad zagrożeniami związanymi z zasobami informatycznymi. Posiadanie Certyfikatu ISO 27001:2022-10, w zależności od branży, daje możliwość uzyskania dodatkowych punktów w przetargach, kontraktacji z NFZ oraz ubiegania się o różnego rodzaju dotacje.

 

Norma ISO 27001 składa się z dwóch głównych części. Jest to część podstawowa, która określa wymagania związane z ustanowieniem i zarządzaniem systemem bezpieczeństwa informacji, a także załącznik A, w którym zdefiniowano główne aspekty mające bezpośredni wpływ na bezpieczeństwo informacji. W czasie certyfikacji ISO 27001 badane są aspekty, takie jak na przykład polityka bezpieczeństwa, bezpieczeństwo zasobów ludzkich, kontrola dostępu, bezpieczeństwo fizyczne i środowiskowe, a także rozwój i utrzymanie systemów. Nie bez znaczenia jest również bezpieczna komunikacja, która definiuje chociażby sposób przekazywania informacji pomiędzy pracownikami konkretnej jednostki organizacyjnej.
Dzięki wdrożeniu normy ISO 27001 możliwe jest przede wszystkim spełnienie wymagań prawnych dotyczących przetwarzania i przechowywania informacji. Oprócz tego wspomnieć w tym miejscu należy również o uporządkowanych procesach związanych z przetwarzaniem informacji, wzroście świadomości pracowników odnośnie bezpieczeństwa informacji, a także o ustandaryzowanym postępowaniu pracowników organizacji. Przyznawany certyfikat stanowi więc bardzo istotne poświadczenie obejmujące obszar nie tylko technologiczny, ale również procesowy i czysto ludzki. Warto wspomnieć, że organizacje posiadające certyfikat ISO 27001 cieszą się dużo większym zaufaniem ze strony konsumentów, co pozwala im osiągać zakładane cele.

 

 

Wdrożenie ISO 27001

 

Wdrożenie systemu ISO 27001:2022-10 odbywa się w następującym porządku:
• audyt zerowy – konsultant/audytor wdrażający (zewnętrzny, wiodący) zapoznaje się z funkcjonowaniem organizacji,
• powołanie i przeszkolenie osoby, mającej pełnić funkcję Pełnomocnika ds. Zarządzania Systemem Bezpieczeństwa Informacji,
• przygotowanie wdrożenia na zgodność z normą: sporządzenie dokumentacji, księgi jakości, uwzględnienie procedur,
• audyt sprawdzający,
• przygotowanie do audytu certyfikującego.

 

Aby norma ISO 27001 mogła zostać wdrożona do danej organizacji w możliwie najbardziej sprawny i szybki sposób, należy trzymać się czterech podstawowych kroków.

 

Pierwszym z nich jest planowanie. W tym punkcie konieczne jest określenie i opracowanie niezbędnych procesów oraz procedur, które w perspektywie czasu pozwolą jednostce organizacyjnej na zapewnienie bezpieczeństwa przetwarzanych informacji.

 

W dalszej kolejności konieczne jest ich wdrożenie. Zgodnie z przyjętym harmonogramem stopniowo wprowadzane są kolejne narzędzia oraz procedury, których zadaniem jest zagwarantowanie bezpieczeństwa danych.

 

Gdy tylko wszystkie procesy zostaną wdrożone w odpowiedni sposób, następuje etap sprawdzania. Jest to punkt, w którym kontroli podlega każdy system oraz właściwie każdy pracownik konkretnej organizacji. W rezultacie możliwe będzie przekazanie kierownictwu kompleksowych danych na temat bezpieczeństwa informacji wewnątrz jednostki, a także wskazanie ewentualnych punktów, w których przepływ danych nie jest realizowany na zakładanym poziomie.

 

Ostatnim etapem wdrażania ISO 27001 jest doskonalenie. Konieczne jest nieustannie poszukiwanie nowych trendów oraz wykorzystywanie najnowocześniejszych dostępnych technologii w celu ciągłego doskonalenia prowadzonych procesów.
Tylko to zagwarantuje jednostce możliwie najwyższe bezpieczeństwo danych.

 

Certyfikacja systemu ISO 27001

 

Certyfikacja ISO 27001:2022-10 odbywa się w kilku etapach:

 

• audyt wstępny – audytor zewnętrzny z wybranej jednostki certyfikującej zapoznaje się z dokumentacją organizacji, w celu sprawdzenia, czy wszystkie wymagania normy zostały wdrożone,
• audytor ocenia, czy wszystkie elementy normy zostały wdrożone,
• audyt – sprawdzenie, realizacji zapisów zgodnie z wdrożoną dokumentacją, czyli zbadanie jak system funkcjonuje w rzeczywistości,
• wydanie raportu,
• wydanie dyspozycji o możliwości przyznania Certyfikatu.

 

W związku z tym, że Certyfikat ISO 27001:2022-10 wydawanyjest na 3 lata, w drugim i w trzecim roku należy przeprowadzić audyt nadzoru. Coroczne audyty nadzoru mają na celu ciągłą optymalizację procesów. Po trzech latach przeprowadzany jest audyt recertyfikacji. Przystąpienie do tego audytu stanowi potwierdzenie długoterminowego zaangażowania organizacji w System Zarządzania Bezpieczeństwa Informacji.