Systemy zarządzania bezpieczeństwem informacji

Dynamiczny rozwój informatyzacji i cyfryzacji, który można obserwować już od kilkunastu lat, niesie za sobą coraz więcej zagrożeń związanych z bezpieczeństwem informacji. Zagrożenia te charakteryzowane są zwykle w trzech podstawowych kategoriach bezpieczeństwa informacji: kwestii utraty poufności, ograniczenia dostępności i naruszania integralności informacji. Zagrożenia dla każdej z tych stref mogą wynikać oczywiście z różnych przyczyn, w tym na przykład zdarzeń przypadkowych (takich jak awarie, błędy oprogramowania, czy pomyłki ludzkie), czynników naturalnych (w tym pożarów czy powodzi), lecz również zdarzeń celowych, a więc ludzi atakujących integralność firmy. Informacja, jako jeden z ważniejszych elementów aktywów firmy musi być odpowiednio zabezpieczana i przechowywana – narażanie się na ataki i zagrożenia poprzez brak odpowiedniego podejścia do kwestii bezpieczeństwa jest przejawem skrajnie złego zarządzania firmą i jedną z bezpośrednich przyczyn niepowodzeń wielu firm. Jak zabezpieczyć informację w firmie? Stosując odpowiednie systemy zarządzania bezpieczeństwem informacji.

Normy określające zakres działań ISMS

Podstawowymi normami w zakresie zarządzania bezpieczeństwem informacji i budowy systemów zarządzania bezpieczeństwem informacji są normy z rodziny ISO/IEC 27000. Te najważniejsze, najbardziej rozpoznawalne z nich to oczywiście Polska Norma PN-ISO/IEC 27000:2014-11, której pełna nazwa brzmi niezwykle skomplikowanie, jednak nakreśla ogólne założenia normy. „Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia”. Norma ta jest jednocześnie wprowadzeniem normy ISO/IEC 27000:2014 (Information technology – Security techniques – Information security management systems – Overview and vocabulary). W normie zamieszczono przegląd najważniejszych wytycznych dotyczących systemów zarządzania bezpieczeństwem informacji, a także wszelkie terminy i definicje stosowane w obrębie wszystkich norm zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27000:2014  może być stosowana we wszystkich typach organizacji, w tym między innymi w przedsiębiorstwach komercyjnych, agencjach rządowych, instytucjach charytatywnych czy małych firmach prywatnych, niezależnie od ich wielkości i zasięgu rynkowego. Norma PN-ISO/IEC 27000:2014-11 jest niezbędna do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji ISMS, z uwagi na przeniesienie do niej rozdziału „Terminy i definicje” z norm ISO/IEC 27001 i ISO/IEC 27002. Z tego względu jest też niezbędna w procesie certyfikacji ISMS na zgodność z międzynarodowym standardem ISO/IEC 27001.

Serdecznie zachęcamy do zapoznania się z Know-How przygotowanym przez polską markę ins2outs – https://ins2outs.com/pl/zestawy-know-how/zestaw-iso-27001-rodo-system-zarzadzania-bezpieczenstwem-informacji

W normie PN-ISO/IEC 27000:2014-11, a także nadrzędnej jej normie ISO/IEC 27001 określone zostały szczegółowe wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji. Wymagania te uwzględniają oczywiście warunki, w jakich działają poszczególne organizacje i są dostosowane do potrzeb organizacji różnego pokroju. W normie PN-ISO/IEC 27000:2014-11 podane zostały dostosowane do potrzeb organizacji wymagania dotyczące oceny i przewidywania ryzyka w bezpieczeństwie informacji. Wymagania normy ISO 27001 mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju i wielkości, niezależnie od branży, w obrębie której dana firma czy przedsiębiorstwo operuje.

Jednym z najważniejszych wyróżnień, jakie może otrzymać firma chcąca stosować się do międzynarodowych standardów ISO 27001 jest pozyskanie certyfikatu dla stosowanego ISMS. Uzyskanie certyfikacji jest procesem żmudnym i nie dopuszcza pominięcia żadnego z wymagań określonych w normie, jeśli dana organizacja deklaruje działanie w zgodzie z nią. Pozyskanie certyfikatu jest jednak korzyścią dla firmy, gdyż jako oficjalne potwierdzenie skuteczności działania ISMS firmy pokazuje potencjalnym klientom i partnerom firmy, że jej metody zarządzania bezpieczeństwem informacji są utrzymywane w najwyższym możliwym standardzie. Działanie w zgodzie z ISMS opartym o normę ISO 27001 powoduje, że firma z łatwością zarządza zgromadzonymi przez siebie informacjami a w razie ryzyka posiada odpowiednie narzędzia do załagodzenia sytuacji.