Bezpieczne informacje – ISO/IEC 27001
Bezpieczeństwo IT i ochrona prywatności mają współcześnie kluczowe znaczenie dla firm i organizacji. Wzrost cyberprzestępczości i pojawianie się nowych zagrożeń sprawiają jednak, że zarządzanie cyberryzykiem może wydawać się trudne, a nawet niemożliwe. Pomocne okazują się standardy systemów zarządzania bezpieczeństwem informacji. Pozwalają one poznać potencjalne zagrożenia, zidentyfikować słabe punkty i je wyeliminować. Najbardziej znany jest ISO/IEC 27001. Co warto o nim wiedzieć?
Co to jest ISO/IEC 27001?
ISO/IEC 27001, nazywany też ISO 27001, jest najbardziej znanym międzynarodowym standardem systemów zarządzania bezpieczeństwem informacji. Określa wytyczne dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w firmach różnej wielkości i z każdego sektora. Uzyskanie certyfikatu zgodności z ISO/IEC 27001 oznacza, że organizacja wdrożyła system zarządzania ryzykiem związanym z bezpieczeństwem posiadanych lub obsługiwanych danych. To także potwierdzenie, że system ten respektuje wszystkie najlepsze praktyki i zasady tej normy. Oficjalna nazwa ISO/EIC 27001 wynika ze wspólnej publikacji tego standardu przez ISO i Międzynarodową Komisję Elektrotechniczną, czyli IEC. Sprawdź też co to jest ISO.
Po co firmie norma ISO/IEC 27001?
System zarządzania bezpieczeństwem informacji wdrożony zgodnie z ISO/IEC 27001 jest narzędziem zarządzania ryzykiem, cyberodpornością i doskonałością operacyjną. Norma ta pozwala więc firmom i organizacjom podnieść poziom bezpieczeństwa IT i ochrony prywatności. Wdrożenie ISO/IEC 27001 pomaga zyskać wiedzę na temat potencjalnych zagrożeń, proaktywnie identyfikować słabe punkty w systemie i podjąć działania profilaktyczne. Bezpieczeństwo informacji według zapisów ISO/IEC 27001 powinno być traktowane w firmie w sposób holistyczny. Ważna jest więc weryfikacja i przygotowanie wszystkich ogniw – nie tylko technologii i zasad, ale też ludzi.
Komu potrzebne jest ISO/IEC 27001?
Wdrożenie normy ISO/IEC 27001 pod uwagę powinny wziąć wszystkie organizacje, którym zależy na ochronie przed cyberprzestępczością i uniknięciu kradzieży danych czy wycieków informacji. Dostępne jest ono dla firmy niezależnie od wielkości czy branży, w której działają. Norma pozwala na ustanowienie dostosowanego do potrzeb, „skrojonego na miarę” systemu zarządzania bezpieczeństwem informacji i wprowadzenie procesu zarządzania ryzykiem. Firmy, z jakich branż najczęściej decydują się na wprowadzenie normy ISO/IEC 27001? Nie ma tu zaskoczenia. Aż 20 proc. wszystkich ważnych certyfikatów wydanych zostało organizacjom z branży IT (dane za 2021 rok – ISO Survey). W j‑labs również przeszliśmy pozytywnie wdrożenie tej normy i certyfikację. Korzyści, jakie przynosi ISO 27001, doceniają także przedsiębiorstwa z innych sektorów gospodarki, przeważnie liderzy swoich branż, a także organizacje publiczne i non-profit.
Co zyskuje się po wdrożeniu ISO/IEC 27001?
- Zwiększenie zaufania i wzrost poziomu wiarygodności organizacji w oczach klientów, w tym międzynarodowych przez spełnianie wymagań światowych w zakresie bezpieczeństwa.
- Mniejszą podatność na zagrożenie cyberatakami dzięki zgodnemu z bieżącą wiedzą na ich temat systemowi zarządzania bezpieczeństwa informacjami papierowymi, w chmurze i cyfrowymi.
- Zabezpieczenie przed uszkodzeniem i wyciekiem danych, np. sprawozdań finansowych, własności intelektualnej, danych pracowników i klientów czy informacji powierzonych przez osoby trzecie.
- Centralnie zarządzaną platformę, która zabezpiecza wszystkie informacje w jednym miejscu.
- Oszczędność pieniędzy poprzez zwiększenie wydajności, zmniejszenie wydatków na nieefektywną technologię ochronną i racjonalizację ponoszonych kosztów OC.
- Minimalizację ryzyk biznesowych, niedostarczenia produktu czy niewykonania usługi przez możliwość identyfikacji potencjalnych problemów.
Co to jest triada CIA w ISO 27001?
W normie ISO/IEC 27001 istotne są trzy zasady, które nazywane są triadą CIA. Skrót ten, choć przywodzi na myśl Centralną Agencję Wywiadowczą USA, powstał od pierwszych liter angielskich słów: confidentiality (poufność), integrity (integralność), availability (dostępność). Jak rozumieć je w kontekście bezpieczeństwa informacji w firmie po wdrożeniu ISO/IEC 27001? System zarządzania bezpieczeństwem informacji spełniający normy gwarantuje poufność, integralność i dostępność informacji przez stosowanie procesu zarządzania ryzykiem. Jakiego typu zagrożenia wiążą się z każdym z tych czynników?
- Poufność – tylko odpowiednie osoby mogą mieć dostęp do informacji przechowywanych przez firmę. Przykład ryzyka to zdobycie danych logowania przez cyberprzestępców i sprzedaż skradzionych informacji.
- Integralność informacji – dane wykorzystywane do prowadzenia działalności firmy lub przez nią otrzymywane nie są usuwane i uszkadzane, ale prawidłowo i umiejętnie przechowane. Przykład ryzyka to przypadkowe usunięcia wiersza z pliku przez pracownika.
- Dostępność danych – firma i jej klienci mogą uzyskać wgląd do informacji zawsze, gdy jest to konieczne. Przykład ryzyka to przejście firmowej bazy danych w tryb offline z powodu np. problemów sprzętowych.
Jakie inne certyfikaty zwiększają bezpieczeństwo informacji?
ISO/IEC 27001 jest bezsprzecznie najbardziej znanym międzynarodowym systemem zarządzania bezpieczeństwem informacji. Inne normy dotyczące podobnego zakresu, których wdrożenie można potwierdzić certyfikatem, to:
- ISO/IEC 27043 – norma zawiera wytyczne do zarządzania procesami dochodzeniowymi dla incydentów bezpieczeństwa informacji różnego typu. Wskazuje zasady, dzięki którym dobiera się do potrzeb organizacji odpowiednie narzędzia, techniki i metody.
- ISO/IEC 27018 – norma powiązana z wymaganiami RODO/GDPR. Pomaga firmom, przez wskazanie konkretnych wymagań i zasad, opracować, wdrożyć, utrzymywać i rozwijać system ochrony danych identyfikujących osobę w chmurach publicznych.
- ISO 22301 – norma określa wymagania dotyczące systemy zarządzania ciągłością działania. System ten zapewnia gotowość do nieprzerwanej pracy w sytuacjach awaryjnych, w tym dotyczących systemów informatycznych.
- ISO 37301 – norma ta zastąpiła ISO 19600 i zawiera wymagania oraz wytyczne dotyczące systemu zarządzania zgodnością w organizacji CMS (Compliance Management System).
- ISO/IEC 30121:2016 – norma dotyczy zarządzania strukturą ryzyka związanego z informatyką śledczą. Opisuje koncepcje przygotowania organizacji do dochodzeń informatycznych przed ich wystąpieniem.
Dlaczego w j‑labs wdrożyliśmy normę ISO/IEC 27001?
Ważni są dla nas ludzie, a dla nich bezsprzecznie istotne jest bezpieczeństwo informacji. Nasza filozofia to „Code matters, you more”, dlatego dbamy o bezpieczeństwo danych i własności intelektualnej naszych pracowników oraz klientów. Chcesz dowiedzieć się więcej o przebiegu certyfikacji w j‑labs? Zapraszamy do naszego artykułu na ten temat: https://www.j-labs.pl/blog-biznesowy/nie-rewolucja-a-ewolucja/