Na czym polega wdrażanie ISO IEC 27001?
Poprzez wdrożenie kompleksowego systemu zarządzania bezpieczeństwem informacji opartego o wymagania normy ISO 27001, firmy są w stanie zapewnić sobie i swoim klientom skuteczną ochronę i zabezpieczenie informacji oraz danych przetwarzanych przez firmę. Zagrożenia względem bezpieczeństwa danych nie pojawiły się dopiero przy masowej komputeryzacji firm, ale wykorzystanie systemów komputerowych zdecydowanie powiększyło pulę zagrożeń, przed którymi należy się zabezpieczyć. Norma ISO 27001 i System Zarządzania Bezpieczeństwem Informacji są istotne dla firm w każdym sektorze, bez względu na ich rozmiar czy ilość przetwarzanych informacji. Jak jednak przygotować firmę do wdrożenia standardu i analizować ryzyko w kontekście całej organizacji?
Przygotowanie do wdrożenia ISO 27001 – podstawowe działania
Aby opracować i wdrożyć nowy System Zarządzania Bezpieczeństwem Informacji oparty o wymogi normy ISO 27001 potrzebne będzie solidne przygotowanie i zrozumienie samej normy, a także przeanalizowanie dotychczasowych działań prowadzonych w zakresie ochrony, występujących zagrożeń i ryzyka oraz zmian, które po wprowadzeniu będą realistyczne do utrzymania i zapewnienia zgodności działań firmy z normą. W związku z powyższym przygotowanie do wdrożenia ISO 27001 powinno zawsze rozpoczynać się od audytu zerowego oraz pełnej analizy firmy pod kątem wszystkich procesów i obszarów, które zostaną objęte systemem zarządzania bezpieczeństwem informacji. Taka analiza pomoże w identyfikacji zagrożeń i ocenie ryzyka, a więc i określeniu konkretnych obszarów wymagających działań korygujących. Przez opracowanie i zweryfikowanie istniejących procedur systemowych umożliwiających odpowiedni poziom ochrony bezpieczeństwa informacji można rozpocząć tworzenie nowych procedur i dążenie do osiągnięcia pełnej zgodności.
Norma ISO 27001, podobnie jak wiele innych norm z rodziny ISO wymaga zaangażowania całej firmy w proces budowania, usprawniania i wdrażania nowych procedur wpływających, w tym przypadku, na bezpieczeństwo informacji. W związku z powyższym elementem przygotowania do wdrożenia ISO 27001 będą kompleksowe szkolenia pracowników z zakresu normy ISO 27001 oraz szkolenia dla kierowników w zakresie istoty wdrożenia normy, działań korygujących i zapobiegawczych oraz niezbędnego nadzoru nad dokumentacją i zapisami. Tak przygotowana firma będzie w stanie przejść przez audyt wewnętrzny, wyciągnąć wnioski z przedstawionej przez audytorów analizy, opracować działania korygujące, wdrożyć je i uzyskać certyfikat zgodności z ISO 27001 potwierdzający skuteczne wdrożenie i stosowanie Systemu Zarządzania Bezpieczeństwem Informacji.
Na czym polega analiza ryzyka w kontekście ISO 27001?
Przez ryzyko w kontekście bezpieczeństwa informacji rozumiemy prawdopodobieństwo wystąpienia zagrożenia, którego wynikiem byłoby uszkodzenie lub utrata informacji. Analiza ryzyka będzie polegała więc na określeniu zagrożeń, jakie mogą wystąpić, prawdopodobieństwa ich wystąpienia, konsekwencji następujących w wyniku zagrożenia, a także możliwych działań zmniejszających straty w przypadku wystąpienia incydentu i ogólnych kosztów, jakie firma poniesie jeśli zagrożenie nie zostanie powstrzymane odpowiednio wcześniej. Sama norma ISO 27001 nie wskazuje konkretnych metod analizy ryzyka, ale wymaga udokumentowania jej przeprowadzenia zarówno na początku, w ramach przygotowania do wdrożenia normy, jak i później, podczas monitorowania i doskonalenia działania SZBI.
Wyeliminowanie ryzyka i zagrożeń w ramach systemu zarządzania bezpieczeństwem informacji będzie opierało się o wdrożenie jasno określonych procedur administracyjnych, HR oraz IT prowadzących do rozpoznawania i wykluczania zagrożeń na każdym z powyższych szczebli. Potrzeba ta wynika z prostego założenia, że zagrożenia dla bezpieczeństwa informacji wynikają nie tylko ze stosowania wadliwych systemów czy pojawiających się luk w oprogramowaniu (procedury IT), ale też z niejasnych reguł dostępu do informacji przez pracowników (HR), braku kontroli nad dokumentacją czy braku nadzoru ze strony kierownictwa (administracja).
Doskonalenie systemu zarządzania bezpieczeństwem informacji
Norma ISO 27001 kładzie dość duży nacisk na potrzebę ciągłego doskonalenia będącą zwieńczeniem procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji. Norma bazuje na cyklu Deminga (PDCA – plan, do, check, act) i wymaga określenia przez organizację sposobów reagowania na zidentyfikowane problemy oraz podejmowania działania korygujące w celu ich wykluczenia. Zastosowanie cyklu Deminga jak i cały proces ciągłego doskonalenia powinny być przez firmę dokumentowane na bieżąco, stanowiąc następnie bazę do kolejnych zmian wprowadzanych w celu eliminacji powtarzania się tych samych zagrożeń i błędów w przyszłości.