Omni Modo - eksperci w dziedzinie ochrony danych osobowych

Norma ISO najlepsze praktyki IT


ISO 27001 jest międzynarodową normą standaryzującą systemy zarządzania bezpieczeństwem informacji.

Wdrożenie normy przynosi wiele korzyści dla organizacji. Posiadanie certyfikatu zwiększa postrzeganie organizacji, jako poważnie traktującej bezpieczeństwo informacji. Norma pozwala lepiej rozumieć ryzyko dla organizacji związanie z BI, zapewnia lepszy nadzór nad technologią oraz procesami biznesowymi, zwiększa szansę na zwiększenie efektywności poprzez lepsze rozumienie procesów biznesowych. Co więcej, działania związane z wdrożeniem ISO 27001 stanowią doskonałą pomoc w doskonaleniu procesów biznesowych przez usuwanie „dziur” bezpieczeństwa lub ich zabezpieczanie, a także dostarczają dowodów na ciągłe doskonalenie bezpieczeństwa IT w organizacji zgodnie z wszelkimi regulacjami prawnymi i normami.

Wdrożenie ISO 27001 pozwala też, w pewnym stopniu, ograniczyć wydatki: wysiłki na rzecz podnoszenia bezpieczeństwa pozwalają ograniczyć działania zbędne, które podjęlibyśmy w momencie naruszenia bezpieczeństwa, posiadanie certyfikatu często wiąże się z niższymi niż normalnie stawkami ubezpieczeń. Przede wszystkim jednak znacznie spada ryzyko poniesienia nieplanowanych kosztów związanych z wystąpieniem incydentów bezpieczeństwa (przerwa w działalności organizacji, utrata informacji, utrata pracowników, konieczność zapłacenia okupu grupom hakerów).

Potrzeba wdrożenia systemu zarządzania bezpieczeństwem może wyniknąć z wielu źródeł. Na przykład:

  • Organizacja, która doświadczyła incydentu związanego np. z wyciekiem poufnych danych, będzie szukała metody na zminimalizowanie prawdopodobieństwa wystąpienia podobnego zdarzenia w przyszłości.
  • Instytucja budująca swą markę na zaufaniu publicznym (np. bank, urząd, szpital) chce dostarczyć obecnym i potencjalnym klientom dowodu na to, że jest warta zaufania.
  • Firma, która jest dostawcą usług dla tzw. rynków regulowanych, chce uwiarygodnić swą pozycję i wyróżnić się wśród konkurencji posiadaniem swoistego glejtu, jakim jest certyfikat ISO.
  • I w końcu przypadek bardzo uniwersalny – kierownictwo chce mieć kontrolę nad poziomem bezpieczeństwa informacji, która w obecnych czasach jest najbardziej wartościowym aktywem każdej organizacji.

Coraz częściej posiadanie certyfikacji lub przynajmniej deklaracja zgodności z ISO 27001, jest wymogiem przy postępowaniach przetargowych i to, co warte podkreślenia, nie tylko w przypadku Zamówień Publicznych, ale także przetargów organizowanych przez firmy prywatne.

Niestety, pomimo korzyści płynących z wdrożenia ISO 27001, norma ta pozostaje w Polsce mało popularna. Liczba certyfikacji zwiększa się z roku na rok, obecnie certyfikatami zgodności może pochwalić się niecałe 300 firm i organizacji (http://www.iso27000.pl/sites/view/form=3=1). W porównaniu z kilkunastoma tysiącami certyfikatów normy ISO 9001 jest to niewielka liczba.

Omni Modo, prowadząc od 12 lat audyty w zakresie ochrony danych osobowych, zawsze opierała się na zalecaniach normy ISO 27001. Wielu pracowników Omni Modo może pochwalić się certyfikatami audytora wewnętrznego lub wiodącego normy. Stanowimy zespół prawników i informatyków dysponujących wieloletnim doświadczeniem, przeprowadziliśmy kilkaset audytów w organizacjach różnej wielkości o różnych profilach – od jednostek samorządu terytorialnego, przez małe i średnie firmy, po międzynarodowe korporacje z listy Fortune 500.

W 2014 roku, OFBOR (Organizacja Firm badania Opinii i Rynku) wprowadził dla swoich członków Program Kontroli Jakości Bezpieczeństwa Informacji. Ten branżowy program certyfikacji opiera się na normie PN-ISO/IEC 27001:2015. Szczegółowe informacje na temat tego programu certyfikacji mogą Państwo znaleźć na stronie organizacji: http://www.ofbor.pl/index.php?option=com_content&view=article&id=47&Itemid=55

Dla swoich, będących członkami OFBOR, klientów Omni Modo zaoferowało wsparcie w procesie przygotowania do zdobycia certyfikatu PKJBI. Pierwszy etap polegał na przeprowadzeniu wstępnego porównania zgodności działania organizacji w stosunku do wymagań PKJBI. Jako podsumowanie audytu przedstawiliśmy pełną ocenę aktualnego stanu organizacji wraz z listą działań mających doprowadzić do otrzymania certyfikatu. W drugim etapie prac, Omni Modo, wraz z wyznaczonymi pracownikami firm, przygotowało i wdrożyło pełny, zgodny z wymaganiami normy ISO System Zarządzania Bezpieczeństwem Informacji (SZBI). W ramach tworzenia i wdrażania SZBI, oprócz przygotowania wymaganych procedur, polityk i innych dokumentów, przeprowadziliśmy także proces identyfikacji i klasyfikacji aktywów informacyjnych połączony z szacowaniem ryzyka i przygotowaniem planu postępowania z ryzykiem.

W 2015 pomagaliśmy naszym klientom w procesie recertyfikacji – jesteśmy dumni z faktu, że spośród firm, które znajdą się na liście posiadaczy certyfikatu PKJBI na 2016 rok, aż 1/3 stanowią nasi klienci!

Bazując na naszych doświadczeniach chcielibyśmy zaproponować Państwu usługę polegającą na wdrożeniu ISO 27001 w interesującym Państwa i przystającym do potrzeb Państwa organizacji zakresie, od prostego sprawdzenia w jakim stopniu Państwa organizacja działa zgodnie z wymaganiami normy, poprzez stworzenie Systemu Zarządzania Bezpieczeństwem Informacji, na działaniach mających doprowadzić do uzyskania certyfikacji kończąc. Nasze usługi obejmują:

  • Audyt wstępny obejmujący procesy w organizacji, istniejące procedury, przepisy prawne mające wpływ na działalność organizacji, strategię działania.
  • Określenie zakresu wdrożenia na podstawie wyników audytu wstępnego, oczekiwań organizacji i ewentualnych oczekiwań podmiotów zewnętrznych (klientów, dostawców).
  • Przeprowadzenie procesu identyfikacji aktywów informacyjnych w organizacji.
  • Przeprowadzenie procesu szacowania ryzyka oraz opracowanie planu postepowania z ryzykiem.
  • Stworzenie formalnego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), obejmującego zestaw niezbędnych dokumentów, procedur i polityk.
  • Przeprowadzenie szkoleń dla wszystkich pracowników zaangażowanych w zapewnienie bezpieczeństwa informacji.

Po 6-12 miesiącach od zakończenia wdrażania SZBI proponujemy przeprowadzenie audytu w celu zbadania, jak przebiega wdrażanie zaleceń normy ISO 27001 w Państwa organizacji oraz wprowadzenia działań doskonalących i naprawczych.