Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)

Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

Zapytaj o ofertę

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Polska Norma PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:

• Rozporządzenie o Ochronie Danych Osobowych (RODO),
• ustawa o zwalczaniu nieuczciwej konkurencji,
• ustawa o ochronie informacji niejawnych,
• ustawa o dostępie do informacji publicznej,
• ustawa o prawie autorskim i prawach pokrewnych,
• rozporządzenie Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Obszary zabezpieczeń objęte w SZBI:

• polityka bezpieczeństwa informacji,
• organizacja bezpieczeństwa informacji,
• bezpieczeństwo zasobów ludzkich,
• zarządzanie aktywami,
• kontrola dostępu,
• kryptografia,
• bezpieczeństwo fizyczne i środowiskowe,
• bezpieczna eksploatacja,
• bezpieczeństwo komunikacji,
• pozyskiwanie, rozwój i utrzymanie systemów,
• relacje z dostawcami,
• zarządzanie incydentami związanymi z bezpieczeństwem informacji,
• aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
• zgodność.

W ramach wdrożenia opracowane zostaną m.in.:

• polityka bezpieczeństwa informacji,
• metodyka szacowania i postępowania z ryzykiem,
• deklaracja stosowania,
• polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
• zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
• polityka klasyfikacji informacji,
• polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
• procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
• polityka zarządzania kopiami zapasowymi,
• procedura zarządzania incydentami,
• plan zachowania ciągłości działania,
• procedura audytu wewnętrznego.

Etapy wdrożenia:

• audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
• klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
• analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
• opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
• opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
• szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz  postępowanie w sytuacji naruszenia normy,
• szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
• audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
• wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

• zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
• stałe udoskonalanie systemu zabezpieczeń informacji,
• zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
• tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
• może pomóc w uzyskaniu statusu preferowanego kontrahenta.