Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)

Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

Schemat systemu zarządzania bezpieczeństwem informacji (SZBI - ISO/IEC 27001)

Zapytaj o ofertę

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Polska Norma PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:

Rozporządzenie o Ochronie Danych Osobowych (RODO),
ustawa o zwalczaniu nieuczciwej konkurencji,
ustawa o ochronie informacji niejawnych,
ustawa o dostępie do informacji publicznej,
ustawa o prawie autorskim i prawach pokrewnych,
rozporządzenie Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Obszary zabezpieczeń objęte w SZBI:

polityka bezpieczeństwa informacji,
organizacja bezpieczeństwa informacji,
bezpieczeństwo zasobów ludzkich,
zarządzanie aktywami,
kontrola dostępu,
kryptografia,
bezpieczeństwo fizyczne i środowiskowe,
bezpieczna eksploatacja,
bezpieczeństwo komunikacji,
pozyskiwanie, rozwój i utrzymanie systemów,
relacje z dostawcami,
zarządzanie incydentami związanymi z bezpieczeństwem informacji,
aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
zgodność.

W ramach wdrożenia opracowane zostaną m.in.:

polityka bezpieczeństwa informacji,
metodyka szacowania i postępowania z ryzykiem,
deklaracja stosowania,
polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
polityka klasyfikacji informacji,
polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
polityka zarządzania kopiami zapasowymi,
procedura zarządzania incydentami,
plan zachowania ciągłości działania,
procedura audytu wewnętrznego.

Etapy wdrożenia:

audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz postępowanie w sytuacji naruszenia normy,
szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
stałe udoskonalanie systemu zabezpieczeń informacji,
zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
może pomóc w uzyskaniu statusu preferowanego kontrahenta.

wstecz

Nasze usługi

Ochrona danych osobowych

Bezpieczeństwo informacji

Biuletyn
ODO 24

Dzięki subskrypcji naszego biuletynu otrzymasz bezpłatny poradnik RODO (pobierz fragment) oraz stały dostęp do najważniejszych informacji ze świata ochrony danych osobowych, nowości, promocji i gratisów naszej ofercie.

Zobacz
poprzednie wydania.

Blog ODO 24

Brexit a RODO

W pigułce prezentujemy najważniejsze z ostatnich wydarzeń na linii Wyspy – UE i sygnalizujemy, przez pryzmat... więcej

Zarządzanie kryzysowe w razie wystąpienia naruszenia ochrony danych osobowych – przykład Morele.net

Kolejna decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładająca administracyjną karę pieniężną... więcej

Nowe obowiązki dotyczące przechowywania dokumentacji pracowniczej

Nowy rok to nowe obowiązki dla wszystkich pracodawców w zakresie przechowywania dokumentacji pracowniczej... więcej

RODO w BHP

Poświęcając czas i uwagę odpowiedniej konstrukcji klauzul informacyjnych, uregulowaniu monitoringu... więcej

Podręcznik inspektora ochrony danych – polska wersja językowa

Pod koniec grudnia 2019 r. Urząd Ochrony Danych Osobowych opublikował polską wersję językową podręcznika... więcej

Co wynika z planu kontroli Prezesa UODO na rok 2020?

Wraz z nadejściem nowego roku Prezes UODO opublikował na stronie internetowej Urzędu plan kontroli, które... więcej

Jak wybrać właściwą podstawę prawną przekazywania danych osobowych poza EOG

Twoja organizacja najprawdopodobniej przekazuje dane poza Europejski Obszar Gospodarczy (EOG) – niezależnie... więcej

Odpowiedzialność karna na tle ustawy DODO

Przepisy ustawy DODO kształtują odpowiedzialność karną na tle ochrony danych osobowych przetwarzanych w... więcej

Jak przygotować biznes do testów penetracyjnych?

Często mówi się, że RODO to akt prawny neutralny technologicznie. Nie oznacza to jednak, że w procesie... więcej

Rekrutacja zgodna z RODO jak tor przeszkód

Ochrona danych osobowych to ważny temat podczas realizacji procesów zatrudnienia u przedsiębiorcy, w... więcej

Bezpieczeństwo informacji (SZBI - ISO/IEC 27001)