Jedną z najczęściej wprowadzanych norm standaryzujących jest norma ISO 27001. Została sformułowana w 2005 roku, opierając się na brytyjskich normach BS. W naszym kraju odpowiadającą jej normą była ISO/IEC 27001 (sformułowana w 2007 roku). Norma ISO 27001 dotyczy systemów zarządzania informacją i jej bezpieczeństwem. Jest wydawana w oparciu o audyty certyfikujące, przeprowadzane przez uprawnione do tego jednostki.
Czego dotyczy norma ISO 27001
Norma ISO 27001 obejmuje bardzo wiele zagadnień, które można podzielić na 11 osobnych obszarów. Każdy z nich ma olbrzymi wpływ na poziom bezpieczeństwa informacji przetwarzanych w danej firmie.
Wśród obszarów istotnych wymienić należy: politykę bezpieczeństwa; sposób organizacji bezpieczeństwa informacji, zarządzanie aktywami firmy; bezpieczeństwo pracowników; bezpieczeństwo środowiskowe oraz fizyczne; zarządzanie rozbudowanymi systemami oraz sieciami; kontrola systemu przyznawania dostępu; zarządzanie ciągłości procesów; rozwijanie stosowanych systemów informatycznych; zarządzanie incydentami dotyczącymi bezpieczeństwa informatycznego; zgodność z wymogami prawnymi oraz innymi standardami (także wewnętrznymi).
Wdrażanie systemu ISO 27001
Wdrażanie systemu przebiega zgodnie z czterema głównymi etapami, które określić można w skrócie jako: planowanie – wykonanie – sprawdzanie – działania. Planowanie polega na określeniu celów do osiągnięcia oraz dokładnym zdiagnozowaniu aktualnego sposobu organizacji wszelkich procedur. Podlegają one analizie pod kątem możliwości ich optymalizacji, zarządzania ryzykiem oraz poprawy poziomu bezpieczeństwa.
Wykonanie polega na wdrażaniu oraz eksploatacji proponowanych rozwiązań. Często wymaga to dokładnego „zreformowania” dotychczasowych procedur, a także sposobu postępowania na konkretnych stanowiskach w danym przedsiębiorstwie.
Nieodłącznym etapem jest monitorowanie oraz ciągłe analizowanie poziomu wydajności wprowadzonych rozwiązań. Wymaga to prowadzenia zintegrowanej dokumentacji, których regularna analiza pozwala na podtrzymanie wysokich standardów działania firmy.
Po wprowadzeniu rozwiązań istnieje także możliwość ich dalszego korygowania oraz eksploatowania nowych możliwości. Istotne jest zapobieganie wystąpieniu sytuacji niepożądanych oraz ciągłe doskonalenie procedur.
Audyty ISO 27001
Rozpoczęcie wdrażania norm jakości rozpoczyna się audytem zerowym, przeprowadzanym w celu zdiagnozowania obecnego stanu organizacji. Audyt zerowy jest warunkiem przejścia do dalszych etapów. Po jego zakończeniu tworzony jest plan wdrażania, obejmujący wszelkie zalecane i konieczne zmiany.
Audyt finalny jest przeprowadzany przez jednostki certyfikujące, posiadające odpowiednie uprawnienia. Polecamy certyfikat ISO 27001 – GCS Quality, specjalizującą się w międzynarodowych standardach jakości i zarządzania. Jej oferta obejmuje oba typy audytu, a także możliwość przeszkolenia pracowników pod kątem możliwości przeprowadzania audytów wewnętrznych. Zajmuje się także organizacją szkoleń dla pozostałych grup pracowników, którzy często wymagają systematycznego wdrażania w nowe rozwiązania i procedury.