Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)
Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.
Polska Norma PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.
Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:
- Rozporządzenie o Ochronie Danych Osobowych (RODO),
- ustawa o zwalczaniu nieuczciwej konkurencji,
- ustawa o ochronie informacji niejawnych,
- ustawa o dostępie do informacji publicznej,
- ustawa o prawie autorskim i prawach pokrewnych,
- rozporządzenie Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Obszary zabezpieczeń objęte w SZBI:
- polityka bezpieczeństwa informacji,
- organizacja bezpieczeństwa informacji,
- bezpieczeństwo zasobów ludzkich,
- zarządzanie aktywami,
- kontrola dostępu,
- kryptografia,
- bezpieczeństwo fizyczne i środowiskowe,
- bezpieczna eksploatacja,
- bezpieczeństwo komunikacji,
- pozyskiwanie, rozwój i utrzymanie systemów,
- relacje z dostawcami,
- zarządzanie incydentami związanymi z bezpieczeństwem informacji,
- aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
- zgodność.
W ramach wdrożenia opracowane zostaną m.in.:
- polityka bezpieczeństwa informacji,
- metodyka szacowania i postępowania z ryzykiem,
- deklaracja stosowania,
- polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
- zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
- polityka klasyfikacji informacji,
- polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
- procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
- polityka zarządzania kopiami zapasowymi,
- procedura zarządzania incydentami,
- plan zachowania ciągłości działania,
- procedura audytu wewnętrznego.
Etapy wdrożenia:
- audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
- klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
- analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
- opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
- opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
- szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz postępowanie w sytuacji naruszenia normy,
- szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
- audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
- wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.
Korzyści:
- zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
- stałe udoskonalanie systemu zabezpieczeń informacji,
- zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
- tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
- może pomóc w uzyskaniu statusu preferowanego kontrahenta.
wstecz
Nasze usługi
Ochrona danych osobowych
- Audyt zgodności
- Bieżące wsparcie
- DPIA i analiza ryzyka
- Kontrola UODO
- Przejęcie funkcji IOD
- Wdrożenie RODO
- Zgodność z DODO