Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)

Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

Schemat systemu zarządzania bezpieczeństwem informacji (SZBI - ISO/IEC 27001)

Zapytaj o ofertę

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Polska Norma PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:

Rozporządzenie o Ochronie Danych Osobowych (RODO),
ustawa o zwalczaniu nieuczciwej konkurencji,
ustawa o ochronie informacji niejawnych,
ustawa o dostępie do informacji publicznej,
ustawa o prawie autorskim i prawach pokrewnych,
rozporządzenie Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Obszary zabezpieczeń objęte w SZBI:

polityka bezpieczeństwa informacji,
organizacja bezpieczeństwa informacji,
bezpieczeństwo zasobów ludzkich,
zarządzanie aktywami,
kontrola dostępu,
kryptografia,
bezpieczeństwo fizyczne i środowiskowe,
bezpieczna eksploatacja,
bezpieczeństwo komunikacji,
pozyskiwanie, rozwój i utrzymanie systemów,
relacje z dostawcami,
zarządzanie incydentami związanymi z bezpieczeństwem informacji,
aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
zgodność.

W ramach wdrożenia opracowane zostaną m.in.:

polityka bezpieczeństwa informacji,
metodyka szacowania i postępowania z ryzykiem,
deklaracja stosowania,
polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
polityka klasyfikacji informacji,
polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
polityka zarządzania kopiami zapasowymi,
procedura zarządzania incydentami,
plan zachowania ciągłości działania,
procedura audytu wewnętrznego.

Etapy wdrożenia:

audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz postępowanie w sytuacji naruszenia normy,
szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
stałe udoskonalanie systemu zabezpieczeń informacji,
zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
może pomóc w uzyskaniu statusu preferowanego kontrahenta.

wstecz

Nasze usługi

Ochrona danych osobowych

Bezpieczeństwo informacji

Blog ODO 24

Inspektor ochrony danych w środowisku ubezpieczeniowym

Rynek ubezpieczeniowy tworzą podmioty, które – z uwagi na specyfikę swojej działalności – w szczególności... więcej

Cennik kar, czyli ile dokładnie zapłacimy za naruszenie zasad ochrony danych osobowych?

Wynikające z RODO konsekwencje działania wbrew regulacjom dotyczącym ochrony danych osobowych to przede... więcej

Kolejny etap reformy przepisów o ochronie danych osobowych.

Reforma przepisów związanych z ochroną danych osobowych trwa: 21 lutego 2019 r. Sejm przyjął ustawę o zmianie... więcej

Jak odróżnić współadmistrowanie od powierzenia przetwarzania?

Przed wejściem w życie RODO pojęcie współadministrowania nie funkcjonowało. Wszelkie wspólne przedsięwzięcia... więcej

Po ile ten incydent? Holenderski taryfikator kar pieniężnych po polsku.

Holenderski taryfikator kar pieniężnych po polsku. Zważywszy, że dokument taki jest niezaprzeczalną innowacją... więcej

Jak uwzględnić prywatność w fazie projektowania? O wymogu privacy by design dla tych, którzy wolą zapobiegać niż leczyć.

Dla wielu administratorów obowiązek privacy by design brzmi enigmatycznie. W praktyce rzadko bywa on... więcej

Schemat kontroli UODO

Jeśli chcesz wiedzieć jakie działania należy przedsięwziąć, aby przygotować się do kontroli w taki sposób aby... więcej

Obowiązek informacyjny w świetle pierwszej kary PUODO

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a... więcej

Powitajmy naszych gości – kontrola

Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę administratora danych osobowych, aby... więcej

Milion za niezgodność z RODO

Prawie rok po rozpoczęciu stosowania RODO polski organ nadzorczy – dotąd uważany za stosunkowo liberalny i... więcej

Bezpieczeństwo informacji (SZBI - ISO/IEC 27001)