Jak już sygnalizowałam w poprzednich wpisach dotyczących ISO, istnieje mnóstwo norm związanych z różnorodną tematyką. Dziś natomiast chcę Państwu nieco przybliżyć kwestie związane z systemem zarządzania bezpieczeństwem informacji, czyli czymś co obecnie jest na tzw. „czasie”. Otóż międzynarodowy standard zawierający wytyczne w tym zakresie został po raz pierwszy opublikowany przez organizację ISO w 2005 r (obecnie obowiązuje wydanie z grudnia 2014r.) jako norma ISO 27001 „Technika informatyczna – Techniki bezpieczeństwa - Systemy Zarządzania bezpieczeństwem informacji – Wymagania” (wywodzi się natomiast z brytyjskiego standardu BS 7799 część 2). Szczegółowe omówienie wymagań zawartych we wspomnianej normie byłoby dość czasochłonne, należy jednak wyjaśnić czym w rzeczywistości jest bezpieczeństwo informacji (BI). Zgodnie z normą ISO 27002:2005 „Technika informatyczna – praktyczne zasady zarządzania bezpieczeństwem informacji” (której znajomość jest konieczna do audytowania Systemu Zarządzania Bezpieczeństwem Informacji), informacje to wszelkie aktywa organizacji, które podobnie jak inne aktywa biznesowe, ma dla niej wartość, w związku z czym należy je odpowiednio chronić. Reasumując BI oznacza zachowanie:

• POUFNOŚCI – zapewnienie, że informacje są dostępne tylko dla osób upoważnionych
• INTEGRALNOŚCI – zagwarantowanie dokładności i kompletności informacji i metod ich przetwarzania
• DOSTĘPNOŚCI – zapewnienie upoważnionym użytkownikom dostępności do informacji, związanych z nimi zasobów zgodnie z potrzebami.

Wdrożenie wymagań tejże normy z przedsiębiorstwie nie jest wcale takie proste, a wynika przede wszystkim z trudności w interpretacji jej wymagań. Ponadto nie jest łatwo stworzyć dobry model szacowania ryzyka, którego częste określanie jest konieczne. Ponadto należy spełnić dużo wymagań formalnych systemu (zapisów), niezbędne jest poniesienie nakładów na bezpieczeństwo oraz posiadanie specjalistycznej wiedzy (zwł. z zakresu IT). Niezbędne jest również spełnienie mających zastosowanie wymagań prawnych takich jak np. Ustawa o ochronie danych osobowych czy Ustawa o ochronie informacji niejawnych itp. (ale to akurat jest obowiązkowe dla każdej firmy, a nie tylko chcącej wdrożyć SZBI). Skoro norma ISO 27001 wymaga tylu skomplikowanych operacji to dlaczego przedsiębiorstwa decydują się na jej wdrożenie? Odpowiedź być może nasuwa się Państwu sama...tak mają Państwo rację…bo mimo wielu trudności, dzięki spełnieniu jej wymagań organizacja osiąga również wiele korzyści. Należą do nich m.in.:

• zapewnienie bezpieczeństwa informacji istotnych dla firmy i jej rozwoju,
• zapewnienie kontrahentom bezpieczeństwa ich danych,
• ograniczenie ryzyka, iż informacje dostaną się do osób, które mogą je wykorzystać poza wiedzą organizacji.

Jak to jednak zawsze bywa z systemami zarządzania każde przedsiębiorstwo musi samodzielnie rozważyć „za” i „przeciw” wcielenia wymagań ISO 27001 oraz poddania ustanowionego systemu certyfikacji.

Agnieszka Łokaj (Trener „bez owijania”)