Przemysł 4.0, tak zwana czwarta rewolucja przemysłowa, oznacza inteligentne połączenie w sieć rozwoju, produkcji, logistyki i klientów. Wiąże się to z dużą ilością informacji i danych, które często mają dla organizacji wartość egzystencjalną. Centralnym zadaniem jest ochrona ich dostępności, integralności i poufności. Bezpieczeństwo informacji obejmuje wszystkie środki, które pomagają uświadomić sobie istniejące zagrożenia, zidentyfikować je oraz podjąć odpowiednie i właściwe działania w celu ich ochrony.

Bezpieczeństwo informacji - pytania i odpowiedzi dotyczące ISO 27001

Z powodu niewystarczającego bezpieczeństwa przetwarzania informacji sama niemiecka gospodarka ponosi co roku szkody sięgające miliardów euro. Przyczyny takiego stanu rzeczy są złożone i obejmują zarówno zakłócenia zewnętrzne, błędy techniczne, szpiegostwo przemysłowe, jak i niewłaściwe wykorzystanie informacji przez byłych pracowników. Jednak tylko ten, kto dostrzega te wyzwania, może podjąć odpowiednie działania. Dobrze skonstruowany system zarządzania bezpieczeństwem informacji, zgodny z uznaną na całym świecie normą ISO 27001, stanowi optymalną podstawę skutecznego wdrożenia całościowej strategii bezpieczeństwa. Co to dokładnie oznacza i co należy wziąć pod uwagę? Odpowiedzi na ważne pytania dotyczące normy ISO 27001 można znaleźć tutaj.

SPIS TREŚCI

  • Co to jest bezpieczeństwo informacji?
  • Jakie są cele ochrony bezpieczeństwa informacji?
  • Co to jest system zarządzania bezpieczeństwem informacji?
  • Dla jakich organizacji przydatna jest norma ISO 27001?
  • Jakie są korzyści z systemu zarządzania bezpieczeństwem informacji?
  • Jaka jest rola ludzi?
  • ISO 27001 - pytania dotyczące wprowadzenia
  • Dlaczego warto certyfikować ISO 27001?
  • DQS - Co możemy dla Państwa zrobić

Co to jest bezpieczeństwo informacji?

Odpowiedź na to pytanie jest dość prosta w ujęciu międzynarodowej rodziny norm dotyczących bezpieczeństwa informacji ISO 2700x:

"Informacja to dane, które mają wartość dla organizacji".

ISO/IEC 27000:2020-06: Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Przegląd i słownictwo

Jak widać, informacja to zasób, który nie powinien dostać się w ręce osób nieupoważnionych i który wymaga odpowiedniej ochrony.

Bezpieczeństwo informacji to zatem wszystko, co ma związek z ochroną zasobów informacyjnych firmy. Decydującym czynnikiem jest tu świadomość zagrożeń występujących w kontekście firmy, ich odkrycie oraz przeciwdziałanie im za pomocą odpowiednich środków w zależności od potrzeb.

"Bezpieczeństwo informacji to nie bezpieczeństwo IT

Bezpieczeństwo informatyczne odnosi się wyłącznie do bezpieczeństwa wdrożonej technologii, a nie do zasobów przedsiębiorstwa, które należy chronić. Kwestie organizacyjne, takie jak uprawnienia dostępu, obowiązki czy procedury zatwierdzania, a także aspekty psychologiczne, również odgrywają istotną rolę w bezpieczeństwie informacji. Bezpieczne systemy informatyczne chronią jednak również informacje w firmie.

Jakie są cele ochrony w ramach bezpieczeństwa informacji?

Zgodnie z międzynarodową normą ISO/IEC 27001, cele ochrony bezpieczeństwa informacji obejmują trzy główne aspekty:

  • Poufność - ochrona informacji poufnych przed nieuprawnionym dostępem, czy to ze względu na przepisy o ochronie danych osobowych, czy też na podstawie tajemnic handlowych objętych np. ustawą Trade Secrets Act. Istotny jest tu poziom poufności.
  • Integralność - minimalizowanie wszelkich zagrożeń, zapewnienie kompletności i wiarygodności wszystkich danych i informacji.
  • Dostępność - zapewnienie dostępu i możliwości korzystania z informacji, budynków i systemów przez osoby do tego uprawnione. Ma to zasadnicze znaczenie dla utrzymania procesów.

Certyfikowane bezpieczeństwo informacji zgodnie z normą ISO 27001

Chroń swoje informacje za pomocą systemu zarządzania, który spełnia międzynarodowe standardy ✓ DQS oferuje ponad 35 lat doświadczenia w certyfikacji ✓

Kluczowe pytania dotyczące bezpieczeństwa informacji

  • Jakie są wartości mojej firmy?
  • Które wartości firmy należy chronić?
  • Na jakie ataki narażone są aktywa firmy?
  • Kto ma interes w ochronie tych informacji?
  • Jakie są odpowiednie środki?

Co to jest system zarządzania bezpieczeństwem informacji?

System zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO/IEC 27001 określa wytyczne, zasady i metody zapewnienia bezpieczeństwa informacji, które warto chronić w organizacji. Stanowi model wprowadzania, wdrażania, monitorowania i doskonalenia poziomu ochrony - zgodnie z systematyczną procedurą cyklu PDCA (Plan-Do-Check-Act) znaną z normy ISO 9001.

Celem jest identyfikacja i analiza potencjalnych zagrożeń oraz umożliwienie ich kontroli za pomocą odpowiednich środków.

Dlaczego zarządzanie bezpieczeństwem informacji jest ważne?

Organizacje odnoszące sukcesy wykorzystują strukturę i przejrzystość nowoczesnych systemów zarządzania do wykrywania zagrożeń i wdrażania nowoczesnych systemów bezpieczeństwa. U podstaw systemu zarządzania bezpieczeństwem informacji leży bezpieczeństwo własnych zasobów informacyjnych, takich jak własność intelektualna, dane finansowe i personalne, a także informacje powierzone przez klientów lub strony trzecie.

"Bezpieczeństwo informacji zawsze oznacza ochronę istotnych informacji lub danych o dużej wartości".

Zagrożeń, na które narażone są dane warte ochrony, jest wiele. Mogą one wynikać z materialnych, ludzkich i technicznych zagrożeń bezpieczeństwa. Jednak tylko holistyczne, prewencyjne podejście systemu zarządzania ISMS może objąć całe spektrum zagrożeń i zapewnić ciągłość działania firmy.

Dla jakich organizacji przydatna jest norma ISO 27001?

Odpowiedź na to pytanie jest bardzo prosta: dla wszystkich. Norma ISO 27001 może być w zasadzie stosowana we wszystkich organizacjach, niezależnie od ich rodzaju, wielkości i branży. I: wszystkie organizacje korzystają z zalet ustrukturyzowanego systemu zarządzania. Na wdrożenie ISMS mają wpływ następujące czynniki:

  • Wymagania i cele biznesowe
  • Potrzeby w zakresie bezpieczeństwa
  • Stosowane procesy biznesowe
  • Wielkość i struktura organizacji.

Jakie są korzyści z systemu zarządzania bezpieczeństwem informacji?

To ważne pytanie. Norma ISO 27001 formułuje wymagania dotyczące systematycznego projektowania i wdrażania systemu zarządzania bezpieczeństwem informacji zorientowanego na procesy. Dzięki takiemu holistycznemu podejściu można osiągnąć decydujące korzyści:

  • Bezpieczeństwo informacji wrażliwych staje się integralną częścią procesów zachodzących w firmie
  • Prewencyjne zabezpieczanie celów ochrony poufności, dostępności i integralności informacji
  • Utrzymanie ciągłości działania dzięki ciągłemu podnoszeniu poziomu bezpieczeństwa
  • Uwrażliwienie pracowników i znaczne zwiększenie świadomości bezpieczeństwa na wszystkich szczeblach firmy
  • Stworzenie skutecznego procesu zarządzania ryzykiem
  • Budowanie zaufania u zainteresowanych stron (np. w przetargach) dzięki bezpiecznemu postępowaniu z informacjami wrażliwymi
  • Przestrzeganie odpowiednich wymogów zgodności z przepisami, większe bezpieczeństwo działań i pewność prawna.

Jak można zarządzać potencjalnym ryzykiem?

Ryzyko związane z bezpieczeństwem może wynikać z zagrożeń materialnych, ludzkich i technicznych. Aby osiągnąć identyfikowalny i odpowiedni poziom bezpieczeństwa w organizacji, wymagany jest zdefiniowany proces zarządzania ryzykiem lub metoda oceny ryzyka, postępowania z ryzykiem i monitorowania ryzyka. Norma ISO/IEC 27005 zawiera dobre wskazówki dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji.

Jaką rolę odgrywają ludzie?

Ludzie są również czynnikiem ryzyka, ponieważ postępowanie z informacjami wrażliwymi dotyczy wszystkich bez wyjątku pracowników i partnerów firmy. Stanowią oni zwiększone zagrożenie dla bezpieczeństwa, czy to z powodu niewiedzy, czy błędu ludzkiego. Jednak tylko nieliczne organizacje regulują, kto może uzyskać dostęp do jakich informacji i w jaki sposób należy się nimi posługiwać.

"Nowym źródłem władzy nie są już pieniądze w rękach nielicznych, ale informacje w rękach wielu". John Naisbitt, *1929, Amerykanin. Futurolog

Wiążące przepisy i wyraźna świadomość wszystkich problemów związanych z bezpieczeństwem informacji są zatem podstawowym warunkiem wstępnym. Dostosowanie polityki korporacyjnej lub opracowanie odpowiedniej polityki bezpieczeństwa informacji jest tutaj uważane za niezbędne. Niezbędne uwrażliwienie pracowników na wszystkich szczeblach (zarządzania) leży w gestii szefa i może odbywać się na przykład poprzez szkolenia, warsztaty lub osobiste rozmowy.

ISO 27001 - pytania dotyczące wdrożenia

Na pytanie, czy firma musi mieć już wprowadzony system zarządzania, na przykład zgodny z normą ISO 9001, można jednoznacznie odpowiedzieć "nie". ISO 27001 jest normą ogólną i - podobnie jak wszystkie normy dotyczące systemów zarządzania - działa samodzielnie. Oznacza to, że organizacja może ustanowić i wdrożyć system zarządzania bezpieczeństwem informacji w dowolnym czasie i niezależnie od istniejących struktur.

Niemniej jednak firmy, które posiadają system zarządzania jakością zgodny z normą ISO 9001, stworzyły już dobrą podstawę do stopniowego wprowadzania kompleksowego bezpieczeństwa informacji.

W swojej strukturze i podejściu, ISO 27001 opiera się na obowiązkowej strukturze podstawowej dla wszystkich norm dotyczących systemów zarządzania zorientowanych na procesy, czyli na Strukturze Wysokiego Szczebla. W konsekwencji daje to możliwość łatwego zintegrowania systemu zarządzania bezpieczeństwem informacji z już istniejącym systemem zarządzania. Możliwa jest również wspólna certyfikacja ISO 27001 z ISO 20000-1 (zarządzanie usługami IT) lub ISO 22301 (zarządzanie ciągłością działania) przez DQS.

Jakie dokumenty mogą wspierać wprowadzenie systemu?

Preferowaną podstawą do wprowadzenia holistycznego systemu zarządzania bezpieczeństwem informacji jest rodzina międzynarodowych norm ISO/IEC 2700x. Ma ona na celu wspieranie organizacji wszystkich typów i rozmiarów we wdrażaniu i obsłudze ISMS. Stopień wdrożenia w organizacji może być sprawdzony za pomocą audytu wewnętrznego.

Pomocne komponenty serii norm to

  • ISO/IEC 27000:2018: Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Przegląd i słownictwo
  • ISO/IEC 27001:2013: Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania
  • ISO/IEC 27002:2013: Technika informatyczna - Techniki bezpieczeństwa - Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji
  • ISO/IEC 27003:2017: Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wytyczne
  • ISO/IEC 27004-2016: Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie bezpieczeństwem informacji - Monitorowanie, pomiar, analiza i ocena
  • ISO/IEC 27005:2018: Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem bezpieczeństwa informacji

Wszystkie regulacje są dostępne na stronie internetowej ISO.

ISO 27001. Pytania dotyczące pełnomocnika ds. bezpieczeństwa IT?

Czy norma ISO 27001 wymaga powołania specjalisty ds. bezpieczeństwa IT? Odpowiedź brzmi "tak".

Jednym z zadań w ramach systemu zarządzania bezpieczeństwem informacji jest wyznaczenie przez najwyższe kierownictwo osoby odpowiedzialnej za bezpieczeństwo IT. Pełnomocnik ds. bezpieczeństwa IT jest osobą kontaktową we wszystkich sprawach związanych z bezpieczeństwem IT. Powinien on być włączony we wszystkie procesy ISMS i ściśle współpracować z menedżerami IT - na przykład przy wyborze nowych komponentów i aplikacji IT.

Dlaczego warto certyfikować ISO 27001?

Certyfikacja oparta na akredytowanej procedurze jest dowodem na to, że system zarządzania i środki zostały wdrożone w celu systematycznej ochrony zasobów informacyjnych. Certyfikat ten pokazuje "czarno na białym", że system został wdrożony i jest stale doskonalony.

Certyfikat DQS, który jest ceniony na całym świecie, jest widocznym wyrazem neutralnej oceny i wzmacnia zaufanie do Państwa firmy. Daje to przewagę rynkową i stanowi dobry warunek wstępny w przetargach oraz w przypadku klientów, dla których bezpieczeństwo ma kluczowe znaczenie, takich jak dostawcy usług finansowych.

ISO 27001 - pytania dotyczące procesu certyfikacji

Wszystkie systemy zarządzania, które są oceniane na podstawie międzynarodowych zasad (ISO 17021) przez akredytowaną jednostkę certyfikującą, taką jak DQS, podlegają temu samemu procesowi certyfikacji.

Wstępna certyfikacja składa się z analizy systemu (audyt etapu 1) i audytu systemu (audyt etapu 2), podczas których audytorzy sprawdzają na miejscu, czy cały system funkcjonuje prawidłowo i czy wszystkie wymagania zostały wdrożone. Certyfikat jest następnie ważny przez 3 lata.

Aby móc zagwarantować ważność certyfikatu przez cały ten okres, system zarządzania musi być corocznie weryfikowany. Dlatego w pierwszym i drugim roku po wydaniu certyfikatu audytorzy DQS przeprowadzają skrócone audyty ISMS (audyty nadzoru), podczas których sprawdzają np. skuteczność kluczowych elementów systemu lub działań korygujących i zapobiegawczych. Ponowna certyfikacja odbywa się po trzech latach.

Firmy, które posiadają już istniejący system zarządzania, powinny połączyć swoje programy audytów i starać się o wspólną certyfikację zintegrowanego systemu zarządzania (ZSZ).

Czy możliwa jest certyfikacja macierzowa?

Certyfikacja macierzowa jest możliwa w przypadku firm posiadających wiele zakładów. Zasadniczo do normy ISO 27001 mają zastosowanie te same wymagania, co do innych norm ISO, takich jak ISO 9001 czy ISO 14001. DQS może zapewnić integrację ISO 27001 z istniejącymi procedurami macierzowymi, tj. wspólny audyt zewnętrzny z innymi normami.

Jakie są zalety ISO 27001 w porównaniu z TISAX?

TISAX® (Trusted Information Security Assessment Exchange) został opracowany jako standard branżowy specjalnie dla przemysłu motoryzacyjnego i dostosowany do specyficznych potrzeb branży. Podstawą oceny TISAX® jest katalog testów VDA Information Security Assessment (VDA ISA), który opiera się m.in. na wymaganiach ISO 27001 lub ISO 27002 i rozszerza je o tematy takie jak ochrona prototypów czy ochrona danych.

Więcej cennej wiedzy można znaleźć na naszej stronie produktowej TISAX®.

Celem systemu TISAX® jest zapewnienie kompleksowego bezpieczeństwa (informacji) na wszystkich etapach łańcucha dostaw. Ponadto, rejestracja w bazie danych upraszcza procedurę wzajemnego uznawania. Jednakże TISAX® jest uznawany tylko w przemyśle motoryzacyjnym. Klienci z innych branż mogą uznać ISO 27001 jedynie jako dowód posiadania ISMS.

DQS Co możemy dla Państwa zrobić

DQS jest specjalistą w zakresie audytów i certyfikacji - dla systemów i procesów zarządzania. Dzięki ponad 35-letniemu doświadczeniu i wiedzy 2500 audytorów na całym świecie, jesteśmy kompetentnym partnerem w zakresie certyfikacji, dostarczającym odpowiedzi na wszystkie pytania związane z ISO 27001.

Przeprowadzamy audyty zgodnie z około 200 uznanymi normami i przepisami, a także normami specyficznymi dla firm i stowarzyszeń. Byliśmy pierwszą niemiecką jednostką certyfikującą, która otrzymała akredytację dla BS 7799-2, poprzedniczki ISO/IEC 27001, w grudniu 2000 roku. To doświadczenie jest nadal wyrazem naszego światowego sukcesu.

Chętnie odpowiemy na Państwa pytania

Ile pracy trzeba włożyć w uzyskanie certyfikatu ISMS zgodnie z ISO 27001? Uzyskaj informacje bezpłatnie i bez zobowiązań.

Czekamy na rozmowę z Państwem.

Pokaż więcej
Pokaż mniej

Bezpieczeństwo informacji i zarządzanie ryzykiem

Bezpieczeństwo informacji i zarządzanie ryzykiem

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Zarządzanie podatnością na zagrożenia w kontekście ISO 27001

Bezpieczeństwo informacji i ochrona danych

Bezpieczeństwo informacji i ochrona danych

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Ochrona danych i bezpieczeństwo informacji - z ISO 27001 i ISO 27701

Bezpieczeństwo informacji a bezpieczeństwo IT

Bezpieczeństwo informacji a bezpieczeństwo informatyczne

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Załącznik A: Obowiązki i role pracowników

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Bezpieczeństwo IT a bezpieczeństwo informacji - jaka jest różnica?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normy dotyczące bezpieczeństwa informacji - przegląd

TISAX (Bezpieczeństwo informacji w przemyśle motoryzacyjnym)

TISAX (Bezpieczeństwo informacji w przemyśle motoryzacyjnym)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - odpowiedzi na ważne pytania

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Cyberbezpieczeństwo w branży motoryzacyjnej: Nowe obowiązkowe przepisy

Normy bezpieczeństwa informacji

Rodzina norm ISO/IEC 2700x to uznana na całym świecie seria norm służących wprowadzeniu całościowego systemu zarządzania bezpieczeństwem informacji. Jej rdzeniem jest norma ISO/IEC 27001, która zawiera certyfikowane wymagania dotyczące identyfikacji, oceny i zarządzania ryzykiem dla operacji przetwarzania informacji.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normy dotyczące bezpieczeństwa informacji - przegląd