Wszystko o ISO 27001: wiedza i poradnik
Czym dokładnie jest Certyfikowany System Zarządzania Bezpieczeństwem Informacji ISO 27001 i jakie standardy należy spełnić, aby go uzyskać? Co w całym procesie jest najtrudniejsze? Jaką realną wartość wnosi dla Klientów i dlaczego najwięksi gracze na rynku przywiązują do niego tak dużą wagę?
Ciesząc się czwartym z rzędu pozytywnie zaopiniowanym audytem ISO 27001 w Transparent Data, ujawniamy kilka większych i mniejszych tajemnic tego międzynarodowego standardu:
- Czym jest ISO/IEC 27001 i kto go ustanowił?
- Dlaczego mówi się, że wnosi realną wartość na rynek informacji?
- Dlaczego warto sprawdzić, czy firma, która dostarcza nam dane lub przetwarza nasze dane go posiada?
- TOP ISO 27001 Q&A dla firm, które zastanawiają się, czy go zdobyć (m.in. co jest najtrudniejszą częścią całego procesu certyfikacji)
- 4 kluczowe etapy całego procesu ubiegania się o certyfikat ISO 27001.
Co to jest ISO/IEC 27001 Certyfikowany System Zarządzania Bezpieczeństwem Informacji?
System Zarządzania Bezpieczeństwem Informacji (skrótowo często nazywany SZBI) zgodny z międzynarodową normą ISO/IEC 27001 to zbiór zasad, które określają wprowadzenie i doskonalenie we wszystkich obszarach działalności przedsiębiorstwa niezależnie ocenianego systemu identyfikacji ryzyk oraz skrupulatnego systemu bezpieczeństwa.
Ten międzynarodowy, uznawany na całym globie certyfikat oraz wymagania do jego uzyskania opracowane zostały przez dwie światowej renomy podmioty — największą na świecie organizację pozarządową ustanawiającą standardy biznesowe Międzynarodową Organizację Normalizacyjną (ISO) oraz najbardziej znaną globalnie organizację ustanawiającą standardy technologiczne Międzynarodową Komisję Elektrotechniczną (IEC). Normy ISO/IEC niezwykle często stanowią podstawę norm krajowych siedmiu kontynentów, a także swoisty punkt odniesienia przy międzynarodowych przetargach i kontraktach.
Spełnienie wymogów ISO/IEC 27001 i zdobycie tego certyfikatu, to zatem klarowny znak na to, że dana firma zapewnia wszystkim przetwarzanym przez nią danym biznesowym i poufnym najwyższą ochronę — posiada gruntownie sprawdzone procedury reagowania i minimalizacji nieuprawnionego dostępu, szczelny na cyberataki system i dobrze wyszkolony personel.
Uzyskanie ISO 27001 plasuje obok największych międzynarodowych firm, bo nadal stosunkowo niewiele firm na świecie i w Polsce może pochwalić się spełnieniem tego standardu.
Jaką wartość ISO 27001 wnosi na rynek informacji?
Ci z Was, którzy kupują informacje od dostawców danych z pewnością wiedzą, że sporo uwagi przykłada się do ich aktualności i wiarygodności. Nikt nie chce raportu handlowego sprzed pół roku, bo jest nikła szansa na to, że podejmiemy słuszne decyzje na podstawie przestarzałych danych. Informacje “wyssane z palca” również nie interesują działy AML, oceny ryzyka czy zakupów. Tam wszystko musi pochodzić ze sprawdzonych źródeł.
Jeśli dokładnie przeanalizujemy procedurę zakupu informacji biznesowych, dość szybko dojdziemy do jeszcze jednego wniosku — ważne jest nie tylko to, co kupujemy, ale także od kogo. To w jaki sposób przechowywane są informacje, kto ma do nich dostęp i jak są one chronione przed niechcianym wyciekiem. Regularnie pojawiające się afery o wyciekach danych nawet w największych firmach typu Facebook czy Zoom doskonale to obrazują.
To, od kogo kupujemy informacje ma znaczenie.
Właśnie z tego powodu najpotężniejsze instytucje (operatorzy płatności, banki itp.) bardzo często nie decydują się podpisywać umów współpracy z firmami, które ISO 27001 nie posiadają. Ich wewnętrzne regulaminy zarządzania ryzykiem im na to nie pozwalają.
ISO 27001 opowiedziane przez firmę, która go zdobyła — TOP Q&A
Dlaczego tak mało firm zajmujących się dostarczaniem informacji gospodarczych czy przetwarzaniem danych, podchodzi do certyfikacji ISO 27001?
Prawda jest taka, że zdobycie certyfikatu ISO 27001 jest zdecydowanie dużo bardziej skomplikowane i długie niż zdobycie dajmy na to, dość popularnego ISO 9001.
Certyfikowany System Zarządzania Bezpieczeństwem Informacji powszechnie kojarzy się z wieloma miesiącami przygotowań i szkoleniami nie bez powodu. Wymaga spełnienia bardzo precyzyjnych wymogów dotyczących systemu identyfikacji zagrożeń oraz kompleksowych zabezpieczeń informacji gospodarczych, biznesowych i poufnych, jakie przechodzą przez wszystkie działy. Patrząc na kilkadziesiąt stron zaleceń, większość firm najprawdopodobniej dochodzi do wniosku, że ISO 27001 jest dostępny tylko dla największych przedsiębiorstw, które mają tysiące pracowników i ogromny kapitał.
Czy małe i średnie firmy również mogą zdobyć certyfikat ISO 27001?
Oczywiście, że tak. To nie rozmiar firmy ma znaczenie, a wewnętrzna sprawność organizacji. Np. nasza firma, choć nie zatrudnia setek pracowników, bez problemu poradziła sobie z certyfikacją, pomimo tego, że przygotowania do niej znacząco zwiększyły ilość obowiązków.
Jak długo certyfikat ISO 27001 jest ważny?
Standardowo uznaje się, że ISO 27001 jest ważny przez 3 lata, ale jest tu mały kruczek. Mianowicie, przynajmniej raz w roku niezależna firma certyfikująca odwiedza przedsiębiorstwo i ponownie sprawdza zgodność ze standardami i to czy podmiot wykazał jakieś nowe inicjatywy, aby udoskonalić procedury sprawdzane poprzednio. W przeciwieństwie do innych standardów, ISO/IEC 27001 jest więc wyjątkowy. Wysiłek nie kończy się wcale na jego uzyskaniu. Dużo trudniejsze jest jego utrzymanie w kolejnych latach.
Czy trudno jest spełnić międzynarodowe standardy bezpieczeństwa zarządzania informacjami? Czy ISO 27001 wiąże się z wdrażaniem skomplikowanych procedur?
Jeżeli jesteś firmą, która działa na rynku od wielu lat i ma w swoim portfolio dużych, wymagających Klientów, to z pewnością większość uznawanych procedur bezpieczeństwa już działa u Was w praktyce, a jeśli nie, to ich wdrożenie nie powinno sprawić Wam większych kłopotów. Tak przynajmniej było w naszym przypadku. Jako dostawca danych musieliśmy wielokrotnie ulepszać nasze procedury, aby spełnić wysokie wymagania instytucji finansowych dotyczące bezpieczeństwa na długo przed przystąpieniem do certyfikacji ISO 27001. Dlatego właśnie samo wdrożenie nie było dla nas szczególnie trudne.
Całe doświadczenie z certyfikacją okazuje się jednak niezwykle cenne z punktu widzenia kultury organizacyjnej — wiele praktyk stosuje się przed ISO 27001, ale dopiero zobaczenie ich zapisanych w postaci wymagań uświadamia w pełni dlaczego przedsiębiorstwo je stosuje. Każda organizacja na tym skorzysta.
Co w całym procesie ubiegania się o ISO 27001 jest najtrudniejsze?
Często nie mówi się o takich sprawach na głos, ale najtrudniejszą częścią certyfikacji jest część formalna — morze dokumentów czekających na wypełnienie i podpisanie. Niestety trwa to kilka tygodni, a każda malutka nawet zmiana w firmie (np. wymiana laptopa jednego z pracowników) sprawia, że ponownie trzeba zmodyfikować kilkanaście dokumentów.
Czy ISO 27001 wymaga wprowadzenia jakiś konkretnych polityk zarządzania bezpieczeństwem informacji?
Kilku tak, przy czym najważniejszym jest tzw. Księga Zintegrowanego Systemu Zarządzania. Definiuje ona cały zakres obowiązków jakie należy spełnić, by móc uznać firmę za zgodną ze standardem ISO/IEC. To w tej polityce należy zawrzeć drobiazgowo pełen wykaz procedur, instrukcji, zasobów organizacji i schematów odpowiedzialności. Objętościowo jest to rzeczywiście księga a nie zwykła książka.
Inną polityką konieczną przy ISO 27001 jest Polityka Bezpieczeństwa Informacji, która ustanawia zakres odpowiedzialności i obowiązków związanych z przetwarzaniem danych osobowych. Mieszczą się w niej obowiązki Administratora Bezpieczeństwa Informacji, Pełnomocnika ds. Zarządzania Systemem Zintegrowanym, Administratora Systemów Informatycznych a także pozostałych pracowników firmy, którzy mają dostęp do danych. Polityka ta opisuje także jakimi rodzajami danych zarządza firma i w jakich systemach je przetwarza.
Trzecia polityka zarządzania bezpieczeństwem informacji o jakiej warto wspomnieć, to Polityka Zarządzania Ciągłością Działania, której celem jest zagwarantowanie stabilności przetwarzania informacji. Zawiera ona m.in. scenariusze postępowania w razie ataku, awarii, pożarów, nieobecności kluczowych pracowników czy utraty ważnych dla firmy aktywów.
Jak wygląda cały proces ubiegania się o certyfikat ISO 27001?
Cały proces ubiegania się o certyfikat ISO 27001 można podzielić na 4 kluczowe etapy:
- Etap 1: studiowanie wymagań zawartych w ISO 27001 i analiza pod ich kątem wszystkich dokumentów, które firma posiada w swoich zasobach. Jeśli są tam braki czy niespójności, musimy zmienić nasze wewnętrzne procedury lub tworzyć nowe dokumenty.
- Etap 2: przeszkolenie wszystkich pracowników, w tym całej kadry kierowniczej, tak aby obudzeni w środku nocy, doskonale wiedzieli, co to np. zasada czystego biurka czy do kogo się zgłosić, jeśli zauważymy jakąś nieprawidłowość przetwarzania danych. Wymaga to oczywiście powołania odpowiednich osób, które zajmą się szkoleniami i testami i będą odpowiadały za projekt ISO 27001 od A do Z.
- Etap 3: wdrożenie niezbędnych systemów bezpieczeństwa, których do tej pory brakowało w firmie, a standard ich wymaga. Muszą one „popracować” w naturalnym, codziennym środowisku firmy minimum kilka miesięcy. Po tym czasie należy wykonać wewnętrzny audyt, co wymaga, by któryś z pracowników posiadał stosowne uprawnienia lub certyfikat audytora wewnętrznego.
- Etap 4: Dopiero teraz, gdy posiadamy całą konieczną dokumentację, pracownicy są przeszkoleni a procedury działają w praktyce, możemy oficjalnie ubiegać się o certyfikat ISO/IEC 27001. W tym celu należy zgłosić się do zewnętrznej, niezależnej jednostki certyfikującej, a potem przejść pomyślnie jej audyt.
Co w praktyce oznacza uzyskanie certyfikatu ISO 27001? Jak to wpływa na działalność biznesową?
Proces uzyskania zgodności z normą ISO wnosi przede wszystkim pokaźną wartość w wewnętrzne procesy przedsiębiorstwa, w jego misję i cele. Pomaga uporządkować stosowane praktyki, wspiera wyrabianie dobrych nawyków dbania o bezpieczeństwo informacji przez pracowników wszystkich szczebli, pozwala zweryfikować co w firmie działa prawidłowo a co nie i czy przyjęte rozwiązania rzeczywiście stoją na najwyższym światowym poziomie. Tym samym, stanowi fenomenalne narzędzie doskonalenia systemu bezpieczeństwa w firmie. Dla firm zorientowanych na rozwój taka wiedza jest zawsze nieoceniona.
Ponadto, pozytywnie wpływa na wiarygodność firmy na rynku i wzrost zaufania, jakim darzą ją Klienci. Uzyskanie ISO 27001 otwiera wiele drzwi do współpracy z dużymi instytucjami finansowymi i międzynarodowymi korporacjami.
