SZBI – System Zarządzania Bezpieczeństwem Informacji – ISO/IEC 27001

SZBI - System Zarządzania Bezpieczeństwem Informacji - ISO/IEC 27001

AUDYT ZGODNOŚCI, KLASYFIKACJA AKTYWÓW, ANALIZA RYZYKA, WDROŻENIE  I OPRACOWANIE DOKUMENTACJA SZBI, SZKOLENIA PRACOWNIKÓW, AUDYT I WSPARCIE POWDROŻENIOWE

NORMA ISO/IEC:

Informacja to podstawa działalności każdej organizacji (podmiotu). Jest fundamentalnym elementem działalności zarówno z punktu widzenia biznesowego jak i spełnienia wymagań prawnych.

Kluczowym elementem każdej Organizacji jest bezpieczeństwo przetwarzania informacji – ich bezpieczeństwo (zachowanie atrybutów integralności, poufności i dostępności informacji), ponieważ łatwo sobie wyobrazić przykre konsekwencje wynikające z utraty, wycieku informacji w skutek ich kradzieży, czy też przypadkowego zniszczenia.

Ochrona informacji w pierwszej kolejności wymaga ich identyfikacji, następnie określenie w jakim kontekście są one przetwarzane, w tym jakie wymagania prawne znajdują zastosowanie , a następnie podjęcie odpowiednich działań w celu opracowania systemu zarządzania bezpieczeństwem informacji (SZBI) według wymogów normy ISO/IEC 27001.

Dzięki SZBI organizacja zapewni odpowiednie środki w zakresie ochrony informacji, a w szczególności w zakresie zachowania poufności, integralności  i dostępności informacji.

Swoimi założeniami obejmuje procesy, infrastrukturę i systemy informatyczne, jak również najbardziej podatny na zagrożenia czynnik ludzki. System ten określa wymagania oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w podmiocie, a w konsekwencji zmniejsza ryzyko wystąpienia incydentu oraz wpływu jego negatywnych skutków na organizację.

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Czym jest POLSKA NORMA PN-ISO/IEC 27001

Norma ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji uwzględniając wymagania organizacji w zakresie jej działalności. Określa wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji i mają charakter ogólny oraz są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. PN-ISO/IEC 27001 to norma referencyjna, przywoływana w aktach prawnych, polskich i unijnych oraz jest stosowana jako wyznacznik spełnienia bezpieczeństwa informacji w organizacji.

W zakresie przepisów prawa norma PN-ISO/IEC 27001 pozwala na utrzymanie zgodności z :

  • Rozporządzeniem Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
  • Rozporządzeniem o Ochronie Danych Osobowych (RODO),
  • Ustawą o krajowym systemie cyberbepieczeństwa,
  • Ustawą o zwalczaniu nieuczciwej konkurencji,
  • Ustawą o ochronie informacji niejawnych,
  • Ustawą o dostępie do informacji publicznej,
  • Ustawą o prawie autorskim i prawach pokrewnych.

Obszary objęte w SZBI:

  • polityka bezpieczeństwa informacji,
  • organizacja bezpieczeństwa informacji,
  • bezpieczeństwo zasobów ludzkich,
  • zarządzanie aktywami,
  • kontrola dostępu,
  • kryptografia,
  • bezpieczeństwo fizyczne i środowiskowe,
  • bezpieczna eksploatacja,
  • bezpieczeństwo komunikacji,
  • pozyskiwanie, rozwój i utrzymanie systemów,
  • relacje z dostawcami,
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
  • zgodność.

Wdrożenie –  zostaną opracowane zostaną m.in.:

  • polityka bezpieczeństwa informacji,
  • metodyka szacowania i postępowania z ryzykiem,
  • deklaracja stosowania,
  • polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
  • zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
  • polityka klasyfikacji informacji,
  • polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
  • procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
  • polityka zarządzania kopiami zapasowymi,
  • procedura zarządzania incydentami,
  • plan ciągłości działania,
  • procedura audytu wewnętrznego.

Etapy wdrożenia ISO/IEC 27001

  • audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
  • klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
  • analiza ryzyka – nasz zespół wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
  • opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
  • opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
  • szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz  postępowanie w sytuacji naruszenia normy,
  • szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
  • audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez nasz zespół wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
  • wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

  • zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
  • stałe udoskonalanie systemu zabezpieczeń informacji,
  • zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
  • tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
  • może pomóc w uzyskaniu statusu preferowanego kontrahenta.
Obszary SZBI

Obszary objęte w SZBI:

  • polityka bezpieczeństwa informacji,
  • organizacja bezpieczeństwa informacji,
  • bezpieczeństwo zasobów ludzkich,
  • zarządzanie aktywami,
  • kontrola dostępu,
  • kryptografia,
  • bezpieczeństwo fizyczne i środowiskowe,
  • bezpieczna eksploatacja,
  • bezpieczeństwo komunikacji,
  • pozyskiwanie, rozwój i utrzymanie systemów,
  • relacje z dostawcami,
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
  • zgodność.
Wdrożenie

Wdrożenie –  zostaną opracowane zostaną m.in.:

  • polityka bezpieczeństwa informacji,
  • metodyka szacowania i postępowania z ryzykiem,
  • deklaracja stosowania,
  • polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
  • zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
  • polityka klasyfikacji informacji,
  • polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
  • procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
  • polityka zarządzania kopiami zapasowymi,
  • procedura zarządzania incydentami,
  • plan ciągłości działania,
  • procedura audytu wewnętrznego.
Etapy wdrożenia

Etapy wdrożenia ISO/IEC 27001

  • audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
  • klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
  • analiza ryzyka – nasz zespół wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
  • opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
  • opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
  • szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz  postępowanie w sytuacji naruszenia normy,
  • szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
  • audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez nasz zespół wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
  • wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.
Korzyści

Korzyści:

  • zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
  • stałe udoskonalanie systemu zabezpieczeń informacji,
  • zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
  • tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
  • może pomóc w uzyskaniu statusu preferowanego kontrahenta.

Skontaktuj się z naszym doradcą:

Przygotujemy indywidualną wycenę.

Udzielimy fachowej porady.

Przyjedziemy na konsultację.

Napisz do nas:

Nasi doradcy zawsze odpowiedzą na Państwa pytania.

Służymy zawsze fachową wiedzą:

: biuro@ochrona-danych.net

: biuro@opentech.com.pl