Home Blog Bezpieczne informacje – ISO/IEC 27001

Bezpieczne informacje – ISO/IEC 27001

27.07.2023

Bezpieczeństwo IT i ochrona prywatności mają współcześnie kluczowe znaczenie dla firm i organizacji. Wzrost cyberprzestępczości i pojawianie się nowych zagrożeń sprawiają jednak, że zarządzanie cyberryzykiem może wydawać się trudne, a nawet niemożliwe. Pomocne okazują się standardy systemów zarządzania bezpieczeństwem informacji. Pozwalają one poznać potencjalne zagrożenia, zidentyfikować słabe punkty i je wyeliminować. Najbardziej znany jest ISO/IEC 27001. Co warto o nim wiedzieć?

Co to jest ISO/IEC 27001?

ISO/IEC 27001, nazywany też ISO 27001, jest najbardziej znanym międzynarodowym standardem systemów zarządzania bezpieczeństwem informacji. Określa wytyczne dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w firmach różnej wielkości i z każdego sektora. Uzyskanie certyfikatu zgodności z ISO/IEC 27001 oznacza, że organizacja wdrożyła system zarządzania ryzykiem związanym z bezpieczeństwem posiadanych lub obsługiwanych danych. To także potwierdzenie, że system ten respektuje wszystkie najlepsze praktyki i zasady tej normy. Oficjalna nazwa ISO/EIC 27001 wynika ze wspólnej publikacji tego standardu przez ISO i Międzynarodową Komisję Elektrotechniczną, czyli IEC.

Po co firmie norma ISO/IEC 27001?

System zarządzania bezpieczeństwem informacji wdrożony zgodnie z ISO/IEC 27001 jest narzędziem zarządzania ryzykiem, cyberodpornością i doskonałością operacyjną. Norma ta pozwala więc firmom i organizacjom podnieść poziom bezpieczeństwa IT i ochrony prywatności. Wdrożenie ISO/IEC 27001 pomaga zyskać wiedzę na temat potencjalnych zagrożeń, proaktywnie identyfikować słabe punkty w systemie i podjąć działania profilaktyczne. Bezpieczeństwo informacji według zapisów ISO/IEC 27001 powinno być traktowane w firmie w sposób holistyczny. Ważna jest więc weryfikacja i przygotowanie wszystkich ogniw – nie tylko technologii i zasad, ale też ludzi.

Komu potrzebne jest ISO/IEC 27001?

Wdrożenie normy ISO/IEC 27001 pod uwagę powinny wziąć wszystkie organizacje, którym zależy na ochronie przed cybeprzestępczością i uniknięciu kradzieży danych czy wycieków informacji. Dostępne jest ono dla firmy niezależnie od wielkości czy branży, w której działają. Norma pozwala na ustanowienie dostosowanego do potrzeb, „skrojonego na miarę” systemu zarządzania bezpieczeństwem informacji i wprowadzenie procesu zarządzania ryzykiem. Firmy z jakich branż najczęściej decydują się na wprowadzenie normy ISO/IEC 27001? Nie ma tu zaskoczenia. Aż 20 proc. wszystkich ważnych certyfikatów wydanych zostało organizacjom z branży IT (dane za 2021 rok – ISO Survey). W j‑labs również przeszliśmy pozytywnie wdrożenie tej normy i certyfikację. Korzyści, jakie przynosi ISO 27001, doceniają także przedsiębiorstwa z innych sektorów gospodarki, przeważnie liderzy swoich branż, a także organizacje publiczne i non-profit.

Co zyskuje się po wdrożeniu ISO/IEC 27001?

  • Zwiększenie zaufania i wzrost poziomu wiarygodności organizacji w oczach klientów, w tym międzynarodowych przez spełnianie wymagań światowych w zakresie bezpieczeństwa.
  • Mniejszą podatność na zagrożenie cyberatakami dzięki zgodnemu z bieżącą wiedzą na ich temat systemowi zarządzania bezpieczeństwa informacjami papierowymi, w chmurze i cyfrowymi.
  • Zabezpieczenie przed uszkodzeniem i wyciekiem danych, np. sprawozdań finansowych, własności intelektualnej, danych pracowników i klientów czy informacji powierzonych przez osoby trzecie.
  • Centralnie zarządzaną platformę, która zabezpiecza wszystkie informacje w jednym miejscu.
  • Oszczędność pieniędzy poprzez zwiększenie wydajności, zmniejszenie wydatków na nieefektywną technologię ochronną i racjonalizację ponoszonych kosztów OC.
  • Minimalizację ryzyk biznesowych, niedostarczenia produktu czy niewykonania usługi przez możliwość identyfikacji potencjalnych problemów.

Co to jest triada CIA w ISO 27001?

W normie ISO/IEC 27001 istotne są trzy zasady, które nazywane są triadą CIA. Skrót ten, choć przywodzi na myśl Centralną Agencję Wywiadowczą USA, powstał od pierwszych liter angielskich słów: confidentiality (poufność), integrity (integralność), availability (dostępność). Jak rozumieć je w kontekście bezpieczeństwa informacji w firmie po wdrożeniu ISO/IEC 27001? System zarządzania bezpieczeństwem informacji spełniający normy gwarantuje poufność, integralność i dostępność informacji przez stosowanie procesu zarządzania ryzykiem. Jakiego typu zagrożenia wiążą się z każdym z tych czynników?

  • Poufność – tylko odpowiednie osoby mogą mieć dostęp do informacji przechowywanych przez firmę. Przykład ryzyka to zdobycie danych logowania przez cyberprzestępców i sprzedaż skradzionych informacji.
  • Integralność informacji – dane wykorzystywane do prowadzenia działalności firmy lub przez nią otrzymywane nie są usuwane i uszkadzane, ale prawidłowo i umiejętnie przechowane. Przykład ryzyka to przypadkowe usunięcia wiersza z pliku przez pracownika.
  • Dostępność danych – firma i jej klienci mogą uzyskać wgląd do informacji zawsze, gdy jest to konieczne. Przykład ryzyka to przejście firmowej bazy danych w tryb offline z powodu np. problemów sprzętowych.

Jakie inne certyfikaty zwiększają bezpieczeństwo informacji?

ISO/IEC 27001 jest bezsprzecznie najbardziej znanym międzynarodowym systemem zarządzania bezpieczeństwem informacji. Inne normy dotyczące podobnego zakresu, których wdrożenie można potwierdzić certyfikatem, to:

  • ISO/IEC 27043 – norma zawiera wytyczne do zarządzania procesami dochodzeniowymi dla incydentów bezpieczeństwa informacji różnego typu. Wskazuje zasady, dzięki którym dobiera się do potrzeb organizacji odpowiednie narzędzia, techniki i metody.
  • ISO/IEC 27018 – norma powiązana z wymaganiami RODO/GDPR. Pomaga firmom, przez wskazanie konkretnych wymagań i zasad, opracować, wdrożyć, utrzymywać i rozwijać system ochrony danych identyfikujących osobę w chmurach publicznych.
  • ISO 22301 – norma określa wymagania dotyczące systemy zarządzania ciągłością działania. System ten zapewnia gotowość do nieprzerwanej pracy w sytuacjach awaryjnych, w tym dotyczących systemów informatycznych.
  • ISO 37301 – norma ta zastąpiła ISO 19600 i zawiera wymagania oraz wytyczne dotyczące systemu zarządzania zgodnością w organizacji CMS (Compliance Management System).
  • ISO/IEC 30121:2016 – norma dotyczy zarządzania strukturą ryzyka związanego z informatyką śledczą. Opisuje koncepcje przygotowania organizacji do dochodzeń informatycznych przed ich wystąpieniem.

Dlaczego w j‑labs wdrożyliśmy normę ISO/IEC 27001?

Ważni są dla nas ludzie, a dla nich bezsprzecznie istotne jest bezpieczeństwo informacji. Nasza filozofia to „Code matters, you more”, dlatego dbamy o bezpieczeństwo danych i własności intelektualnej naszych pracowników oraz klientów. Chcesz dowiedzieć się więcej o przebiegu certyfikacji w j‑labs? Zapraszamy do naszego artykułu na ten temat: https://www.j-labs.pl/blog-biznesowy/nie-rewolucja-a-ewolucja/

Inne wpisy

j-People CSR

AbraKODabra! Idea „Czarodziejów Kodu” w rozmowie z Mateuszem Wasiem 

Mateusz Waś o Czarodziejach Kodu
Czytaj całość
j-People CSR

Dziecięca Przystań, Toxic City i zapach dżungli – relacja Kasi Buckiej z wyprawy do Ghany

Klasa komputerowa j‑labs ufundowana dla dzieci w Ghanie
Czytaj całość
j-People

Gra Szalony Kapelusznik – zwierzenia Deva

Gra Szalony Kapelusznik to gra przeglądarkowa dostępna na komputery osobiste i urządzenia mobilne, polegająca na łapaniu spadających filiżanek i zbieraniu punktów.
Czytaj całość

Poznaj mageek of j‑labs i daj się zadziwić, jak może wyglądać praca z j‑People!

Skontaktuj się z nami