Do najbardziej cennych aktywów każdej firmy należą informacje, dlatego należy zapewnić im jak największe bezpieczeństwo. W każda firma niezależnie od tego, jakiej jest wielkości i w jakiej branży, której zależy na bezpieczeństwie danych powinna wdrożyć normę ISO 27001. W Europie Zachodniej weszła ona w życie 14 października 2005 roku, w Polsce została opublikowana dwa lata później. W sierpniu 2023 roku dotychczas obowiązującą w naszym kraju normę ISO 2007 została wycofana i zastąpiona nową wersją.
Czym jest norma ISO 27001?
Norma 27001 jest międzynarodową normą, która wystandaryzowała systemy bezpieczeństwa zarządzania informacją. W swojej pierwotnej wersji została ona oparta na normie BS 7799-2, która obowiązywała w Wielkiej Brytanii. Brytyjska wersja została zastąpiona w Polsce rodzimą wersją ISO /IEC 27001/2007. Od roku, w którym została ogłoszona kilkakrotnie ją zmieniano, ostatnio przyjęta została jej kolejna wersja. Nowa norma ISO 27001 została dostosowana do wyzwań, które niosą ze sobą coraz bardziej rozwijające się technologie oraz do nowych zagrożeń, które pojawiają się w cyberprzestrzeni. Wprowadzenie nowej normy na polskich firmach i organizacjach wymusza oczywiście konieczność dostosowania stosowanych zabezpieczeń do nowych wymogów, ale jest to w ich interesie.
Jakie zmiany wprowadzono w normie ISO 27001?
Poprzednia wersja normy ISO 27001 zawierała sto czternaście elementów sterujących, które były podzielona na czternaście sekcji – w nowej wersji elementów tych jest dziewięćdziesiąt trzy i są one podzielone na cztery sekcje. Wprowadzenie nowej wersji normy ISO 2700 wymaga na firmach i innych organizacjach dokonania analizy ryzyka związanego z bezpieczeństwem informacji. Norma jasna określa, jakie działania należy podjąć, aby zapewnić bezpieczeństwo informacji. Każda organizacji i firma, która chciałaby wdrożyć nową wersję normy ISO 27001 musi wcześniej zgodzić się na przeprowadzenia audytu. Kolejnym krokiem jest uzyskanie certyfikacji, która potwierdza, że wdrożone rozwiązania są zgodne z normą. Do przeprowadzenia audytu uprawnione są uprawnione są akredytowane jednostki certyfikujące. Otrzymany przez organizację certyfikat zachowuj ważność przez trzydzieści sześć miesięcy. Autorzy nowej wersji normy ISO 27001 podkreślają, że promuje ona holistyczne podejście do bezpieczeństwa informacji – zgodnie z nową normą weryfikacji mają podlegać nie tylko ludzie, ale także technologie i zasady. Firma, która otrzyma certyfikat zgodności z normą ISO 27001 stosuje wszystkie zasady określone w normie, to gwarancja, że przechowywane przez nią informacje są bezpieczne.
Agnieszka Skowyra (Audytor)