Zwiększający się stopień informatyzacji sprawił, że firmy o wiele więcej danych i informacji, aniżeli jeszcze kilka lat temu. Niestety doprowadziło to także do tego, że integralność i poufność znacznie obniżyły swój poziom, wystawiając przedsiębiorstwo na ogromne ryzyko. Jedyną skuteczną odpowiedzią na te problemy systemowe podejście do zarządzania bezpieczeństwem danych, które jest oparte na odpowiednio przeprowadzonej analizie. Dzięki temu można zapewnić w firmie skuteczną odpowiedź na tego typu problemy.
Czym jest ISO 27001 i dlaczego jest konieczne stosowanie systemu zarządzania bezpieczeństwem informacji?
Jedynym narzędziem umożliwiającym zadbanie o poufność danych jest wykaz wytycznych i wymagań, które zostały przedstawione w normie ISO 27001 i normach wspomagających. Jego celem jest zapewnienie skuteczności na wysokim poziomie systemu zarządzania bezpieczeństwa informacji. Ten system zapewnia odpowiedni poziom odporności instytucji na zakłócenia, a także zagrożenia powiązane z bezpieczeństwem informacji, mające albo mogące wywrzeć negatywny wpływ na nieprzerwalność działania instytucji i na realizację założonych przez nią celów biznesowych.
7 kroków wdrożenia systemu zarządzania bezpieczeństwem informacji
Krok 1. Uzyskanie zgody zarządu i wyznaczanie celów – rozpoczęcie wdrażanie systemu należy zacząć od uzyskania aprobaty od kierownictwa firmy. To właśnie oni decydują o przydzieleniu zasobów i budżetu na zdefiniowanie oraz utrzymywanie systemu zarządzania. To zarząd wyznacza cele, a także komunikuje oraz nadzoruje go w instytucji. Wyznaczenie procesów musi być regularnie aktualizowane, natomiast cele powinny odzwierciedlać potrzeby regulacyjne i biznesowe instytucji.
Krok 2. Zdefiniowanie zakresu systemu – w pierwszej kolejności instytucja powinna wybrać te wymagania normy i zabezpieczenia, które bezpośrednio się do niej odnoszą. Norma określa procesy, jakie składają się na System Zarządzania instytucji, ale także zabezpieczenia, jakie instytucja powinna wdrożyć w celu ochrony informacji. Wyniki tego typu czynności służą później jako wejście do następnych kroków wdrożeniowych.
Krok 3. Inwentaryzacja zasobów oraz analiza ryzyka – inwentaryzacja zasobów to regularny przegląd, w wyniku czego następuje opisanie zasobów, które służą przetwarzaniu informacji w instytucji. Do przykładowych jego typów można zaliczyć:
- sprzęt,
- serwery,
- usługi w chmurze,
- infrastrukturę sieciową,
- informacje klientów.
Zinwentaryzować trzeba wyłącznie te zasoby, które są ważne dla przetwarzania informacji. Ta część pokrywa się z RODO. Do każdego wskazanego zasobu powinno się przeprowadzić analizę, mającą na celu określenie ryzyka, związane z utratą informacji danej kategorii. Później przydziela się jedną osobę dla każdego zasobu oraz precyzuje się plan postępowania z ryzykiem.
Krok 4. Zdefiniowanie Systemu Zarządzania Bezpieczeństwa Informacji – teraz można przejść do zdefiniowania pozostałych części składowych systemu i implementacji zabezpieczeń w firmie. W tym procesie definiuje się takie elementy jak: procesy, procedury, polityka, szkolenia, role, źródła wiedzy, źródła normatywne, instrukcje, wejścia i wyjścia. Ten zakres działań jest przeprowadzany przez konsultanta albo pozyskiwany w ramach gotowego zestawu ISO 27001. We wszystkich przypadkach system zarządzania powinien odzwierciedlać procesy w firmie i wnieść wymagane know-how w koniecznych obszarach.
Krok 5. Szkolenia oraz budowa kompetencji dla ról – przedstawiciele firmy powinny doprecyzować kompetencje i umiejętności osób zaangażowanych w system. Na początku należy objaśnić system i przekazać firmie informacje o zakresie oraz sposobie działania SZBI, a także wpływie wszystkich pracowników na bezpieczeństwo informacji. Ważne, aby ten element był wbudowany w system zarządzania firmy poprzez zdefiniowania wymagań i ról co do kompetencji osób je pełniących i sposobu przekazywania tej wiedzy nowym pracownikom oraz odświeżania przeszkolonym.
Krok 6. Utrzymanie i monitorowanie systemu – warto dążyć do tego, aby system został wdrożony oraz utrzymywany w firmie od miesiąca albo dwóch przed rozpoczęciem audytu weryfikacyjnego. Wtedy można przeprowadzić szkolenia, wykonać przegląd systemu zarządzania, dostosowanie analizy planu zarządzania ryzykiem oraz poczynić czynności z planu utrzymania zarządzania infrastruktury i bezpieczeństwem informacji. Warto nadmienić, że podstawowym wymaganiem dla wszystkich systemów zarządzania są jego zdolności do ciągłego doskonalenia.
Krok 7. Audyt certyfikujący ISO 27001 – wdrożenie systemu zarządzania bezpieczeństwem danych w firmie jest potwierdzone certyfikatem spełniania norm ISO 27001. Aby go uzyskać, należy przejść przez audyt certyfikujący, składający się z 2 faz. Pierwsza sprawdza zakres i kompletność SZBI, druga zaś weryfikuje, czy system faktycznie został wdrożony w firmie i czy rzeczywiście odpowiada działaniom firmy. Jeśli tak, zostaje wydany certyfikat na 3 lata. Po upływie tego czasu audyt trzeba powtórzyć.
Przy ciągłym mnożeniu się informatyzacji dane nie są odpowiednio chronione. Jednym z kluczowych elementów do zrozumienia potrzeb przedsiębiorstwa jest audyt bezpieczeństwa informacji, który powinien być wykonywany co 3 lata. Aby poprawić sytuację, należy zainwestować w ISO 27001, czyli narzędzie umożliwiające zadbanie o poufność danych.