Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)

Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

Schemat systemu zarządzania bezpieczeństwem informacji (SZBI - ISO/IEC 27001)

Zapytaj o ofertę

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Polska Norma PN-ISO/IEC 27001:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:

Rozporządzenie o Ochronie Danych Osobowych (RODO),
ustawa o zwalczaniu nieuczciwej konkurencji,
ustawa o ochronie informacji niejawnych,
ustawa o dostępie do informacji publicznej,
ustawa o prawie autorskim i prawach pokrewnych,
rozporządzenie Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Obszary zabezpieczeń objęte w SZBI:

polityka bezpieczeństwa informacji,
organizacja bezpieczeństwa informacji,
bezpieczeństwo zasobów ludzkich,
zarządzanie aktywami,
kontrola dostępu,
kryptografia,
bezpieczeństwo fizyczne i środowiskowe,
bezpieczna eksploatacja,
bezpieczeństwo komunikacji,
pozyskiwanie, rozwój i utrzymanie systemów,
relacje z dostawcami,
zarządzanie incydentami związanymi z bezpieczeństwem informacji,
aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
zgodność.

W ramach wdrożenia opracowane zostaną m.in.:

polityka bezpieczeństwa informacji,
metodyka szacowania i postępowania z ryzykiem,
deklaracja stosowania,
polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
polityka klasyfikacji informacji,
polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
polityka zarządzania kopiami zapasowymi,
procedura zarządzania incydentami,
plan zachowania ciągłości działania,
procedura audytu wewnętrznego.

Etapy wdrożenia:

audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz postępowanie w sytuacji naruszenia normy,
szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
stałe udoskonalanie systemu zabezpieczeń informacji,
zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
może pomóc w uzyskaniu statusu preferowanego kontrahenta.

wstecz

Nasze usługi

Ochrona danych osobowych

Bezpieczeństwo informacji

Blog ODO 24

Dostosowanie organizacji do dyrektywy NIS (cyberustawy)

Ustawa o krajowym systemie cyberbezpieczeństwa (tzw. „cyberustawa”) obowiązuje od 28 sierpnia 2018 roku –... więcej

Dyrektywa NIS - cyberustawa

Dnia 28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, której celem jest... więcej

Dzieci w sieci. Czy Facebook na pewno za zgodą rodzica?

Czym jest usługa społeczeństwa informacyjnego? Kiedy należy rozpatrywać zgodę, o której mowa w art. 8 RODO?... więcej

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Art. 18 RODO daje możliwość osobie fizycznej do ograniczenia przetwarzania jej danych osobowych. Prawo to... więcej

Zgodność procesora z RODO sposoby jej weryfikacji

W niniejszym artykule, skupimy się w szczególności na uprawnieniach administratora do inspekcji podmiotu... więcej

Naruszenie ochrony danych osobowych na Facebooku – od prewencji aż po kary

Miliony użytkowników portali społecznościowych, w szczególności najpopularniejszego z nich, czyli Facebooka,... więcej

W bezpiecznym kierunku – bieżące wsparcie w zakresie RODO

RODO jest stosowane od 25 maja 2018 roku. Tymczasem najnowsze statystyki mówią o tym, że aż połowa polskich... więcej

Analiza ryzyka dla zasobów przetwarzających dane osobowe

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej... więcej

Konsekwencje nieprzestrzegania procedur ochrony danych osobowych

Dla wielu RODO to przede wszystkim astronomiczne kary pieniężne. Ciężko się dziwić, w końcu 20 milionów euro... więcej

Identyfikatory a RODO - jakie dane mogą zawierać?

Wśród pracodawców pojawiają się wątpliwości czy noszenie przez pracowników identyfikatorów ze zdjęciem jest... więcej

Bezpieczeństwo informacji (SZBI - ISO/IEC 27001)