Czy ISO 27001 dotyczy tylko informacji przetwarzanych komputerowo?

Międzynarodowa norma ISO 27001 dla systemów zarządzania bezpieczeństwem informacji jest wykorzystywana przede wszystkim w branżach skupiających się na wykorzystaniu i przetwarzaniu informacji w formie cyfrowej. W praktyce jednak norma odnosi się nie tylko do nowych technologii i ochrony informacji oraz systemów informatycznych, ale wszelkich informacji mających wpływających na ciągłość działania organizacji, bezpieczeństwo jej pracowników czy bezpieczeństwo danych klientów. Jaki charakter informacji podlega ochronie po wdrożeniu standardu ISO 27001 i dlaczego warto wdrożyć go w firmie?

Jakiego typu informacje podlegają normie ISO 27001?

Informacja powinna być traktowana przez firmy jako jeden z najważniejszych aktywów, którego utrata, zniszczenie lub nieoczekiwana zmiana mogą wpłynąć bezpośrednio na ciągłość działania, konkurencyjność firmy na rynku czy bezpieczeństwo i prywatność jej pracowników i klientów. Określona wartość przypisana jest nie tylko informacjom przechowywanym w formie cyfrowej, podlegającym współcześnie wielu zagrożeniom ze względu na dynamiczny rozwój technologii, ale także tym archiwizowanym w formie papierowej, dotyczącym technologii, procesów produkcyjnych, planów biznesowych, prowadzonych działań, świadczonych dla klientów usług czy nawet pomysłów, jakie wymieniane są ustnie pomiędzy pracownikami. Stworzenie rozbudowanego systemu zarządzania bezpieczeństwem informacji opartego o normę ISO 27001 i uwzględniającego zagrożenia dla informacji o różnym charakterze to obecnie najlepszy krok w stronę wzmacniania bezpieczeństwa informacji w firmie.

Ochronie w ramach systemu zarządzania bezpieczeństwem informacji podlegają m.in.:

  • Systemy informatyczne,
  • Dane osobowe,
  • Informacje handlowe,
  • Informacje finansowe przedsiębiorstwa,
  • Wewnętrzne schematy działania będące tajemnicą przedsiębiorstwa.

Utrata integralności, poufności, a także zmiana lub całkowita utrata danych mogą grozić problemami z utrzymaniem ciągłości działania, ale też różnego rodzaju sankcjami karnymi – firmy mają prawny obowiązek ochrony informacji oraz danych osobowych (wynikający m.in. z RODO), w związku z czym wdrożenie systemu zarządzania bezpieczeństwem informacji ma szansę znacząco ułatwić utrzymanie zgodności z wymogami prawnymi.

ISO 27001

Jakie działania wyznacza norma ISO 27001 w kontekście ochrony informacji?

Jednym z podstawowych elementów wprowadzanych przez standard ISO 27001 jest skupienie się organizacji na skutecznej identyfikacji ryzyka i zagrożeń, rozpoznawaniu potencjalnych obszarów problemowych oraz opracowywaniu planu działania na wypadek wystąpienia zagrożenia w celu minimalizacji skali jego negatywnych skutków. Analiza ryzyka oraz elementów wrażliwych stanowi punkt wyjściowy do opracowywania systemu zarządzania bezpieczeństwem informacji – standard ISO 27001 nie narzuca konkretnej listy działań czy zabezpieczeń jakie należy wdrożyć w organizacji, a jedynie przedstawia obszary na których należy się skupić, aby wdrożony i dopasowany do potrzeb firmy system spełniał swoje zadanie i pozostawał zgodny z normą.

ISO 27001 wskazuje potrzebę sklasyfikowania przez organizację informacji ze względu na ryzyko ich utraty oraz krytyczność skutków ich utraty, a następnie ich konkretne określenie i zabezpieczenie poprzez opracowanie i wdrożenie określonych procedur postępowania. Wymogi te określa załącznik A do normy ISO 27001 i zgodnie z nim wszystkie informacje istotne z punktu widzenia firmy powinny pojawić się w odpowiedniej kategorii w obrębie klasyfikacji, zostać ocenione pod kątem ich ważności dla funkcjonowania firmy, a następnie firma powinna określić skutki potencjalnego zagrożenia dla informacji, opisać te zagrożenia i wdrożyć rozwiązania umożliwiające minimalizację ryzyka. ISO 27001, podobnie jak większość standardów opracowanych przez ISO, podkreśla istotę pracy nad eliminacją zagrożeń poprzez stosowanie cyklu Deminga i ciągłe doskonalenie działań.

Dlaczego warto wdrożyć system zarządzania bezpieczeństwem informacji zgodny z ISO 27001?

Poza możliwością spełnienia wymogów prawnych i pewności, że warunki pełnego bezpieczeństwa informacji i danych są zapewnione, wdrożenie ISO 27001 przynosi wiele dodatkowych korzyści porządkujących wewnętrzne działania firmy i wpływających na jej wizerunek na rynku. Uzyskanie certyfikatu pozwala poprawić zaufanie do firmy i otworzyć szanse na uczestnictwo w wielu międzynarodowych przetargach, gdzie certyfikat jest wymogiem koniecznym. Samo wdrożenie systemu zarządzania bezpieczeństwem informacji i przeszkolenie pracowników w zakresie stosowania ISO 27001 zwiększa znacząco świadomość pracowników i kierownictwa, budując kulturę skutecznej ochrony informacji na każdym etapie działania.