Sektor IT jest szczególnie podatny na zagrożenia związane z bezpieczeństwem informacyjnym. Utrzymywanie procesów i danych w środowiskach informatycznych to ryzyko ich utraty w razie awarii systemu lub co gorsza dostania się ich w niepowołane ręce. Dlatego coraz więcej software house’ów decyduje się na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, międzynarodowego standardów określanego przez normę ISO 27001. Jakie zagadnienia reguluje ta procedura i dlaczego warto ją zaimplementować w swojej firmie?
Zamów wzory umów IT!
-
Umowa ramowa na świadczenie usług programistycznych z zamówieniami [PL/EN]
599,00 zł – 799,00 zł (z VAT) -
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
Jakie obszary reguluje norma ISO 27001?
ISO 27001 to międzynarodowy standard, który systematyzuje zarządzanie bezpieczeństwem informacji. Bazuje na brytyjskiej normie BS 7799-2. Znajduje zastosowanie w każdej firmie, dla której funkcjonowania kluczowe znaczenie ma utrzymanie poufności, bezpieczeństwa i integralności danych. Wdrożeniem tej normy ISO w szczególności zainteresowane są firmy informatyczne, które na co dzień pracują z ogromną ilością danych cyfrowych.
Skuteczne wdrożenie ISO 27001 zwiększa bezpieczeństwo informacji, usprawnia wewnętrzny obieg procesów i sprawia, że firma zyskuje wizerunek odpowiedzialnego kontrahenta, który dba o powierzone mu aktywa.
Zakres normy ISO 27001 jest bardzo szeroki i obejmuje szereg aspektów związanych z zabezpieczeniem danych. Teoretycznie zarząd każdej firmy wie, że bezpieczeństwo informacji jest ważne, ale tak naprawdę dopiero wdrożenie usystematyzowanych zasad pozwala obiektywnie odpowiedzieć na pytanie, czy dana organizacja rzeczywiście dba o wszystkie zagadnienia.
Elementarne znaczenie ma opracowanie polityki bezpieczeństwa IT. To dokument, który zbiera w jednym miejscu zasady dotyczące dbałości o ochronę informacji. Powinien on być dostępny dla każdego pracownika i omawiać podstawowe zagadnienia, jak np. robienie kopii zapasowych czy wytyczne w zakresie korzystania z aplikacji firmowych. Kolejne elementy ISO 27001 obejmują:
- organizację bezpieczeństwa informacji;
- zarządzanie aktywami;
- bezpieczeństwo zasobów ludzkich, fizyczne i środowiskowe;
- zarządzanie systemami i sieciami;
- kontrola dostępu;
- zarządzanie ciągłością działania;
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
- zarządzanie incydentami związanymi z bezpieczeństwem informacji;
- zgodność z wymaganiami prawnymi oraz standardami sektorowymi.
Na szeroko pojęty System Zarządzania Bezpieczeństwem Informacji składają się wszystkie procesy, regulaminy i polityki, które mają za zadanie zabezpieczenie obiegu informacji. Dotyczy on zarówno informacje, które już znajdują się w posiadaniu firmy, jak i te, które zdobywa ona m.in. w związku z podpisaniem nowych umów.
Ze względu na konieczność dopasowania normy ISO do specyfiki danej firmy trudno o wskazanie precyzyjnego zakresu każdej grupy zagadnień regulacji. Reprezentatywnym przykładem, istotnym z punktu widzenia software house’u może być np. kontrola dostępu do danych cyfrowych. W tym celu stosuje się różnego rodzaju hasła dostępu czy klucze typu Universal Second Factor, które pozwalają sprawować kontrolę nad tym kto i kiedy może z tych danych korzystać. Innym rozwiązaniem mogą być np. WPA2 albo wirtualne sieci VPN zabezpieczające transmisję danych.
Kolejnym charakterystycznym elementem jest zapewnienie ciągłości działania systemów firmowych. Zwykle realizuje się ją poprzez wdrożenie Business Continuity Plan, który stanowi zbiór procedur pozwalających na możliwie szybkie przywrócenie funkcjonalności kluczowych aktywów lub procesów w przedsiębiorstwie. Na plan kontynuacji składa się zarówno backup danych, wdrożenie zabezpieczeń informatycznych, jak i rozproszenie kluczowych funkcji między wiele środowisk czy tzw. cross-training personelu, który polega na szkoleniu osób zatrudnionych w kilku dziedzinach jednocześnie, aby w razie potrzeby łatwo można było uzupełnić braki kadrowe.
Czy wdrożenie normy ISO 27001 jest obowiązkowe?
Standard bezpieczeństwa informacji uregulowany przez ISO 27001 ma swój polski odpowiednik w Polskich Normach, jako PN-ISO/IEC 27001:2017-06. Warto zdawać sobie sprawę, że – podobnie jak w przypadku innych Polskich Norm – także i wdrożenie tej ma charakter fakultatywny. Wynika to wprost z przepisów ustawy o normalizacji. Zgodnie z art. 5 ust. 3 tego aktu prawnego stosowanie Polskich Norm jest dobrowolne.
Skoro jednak firmy nie muszą zawracać sobie głowy wdrożeniem ISO w codziennej działalność, dlaczego coraz więcej przedsiębiorców decyduje się na przejście procesu certyfikacyjnego?
Dlaczego warto wdrożyć normę ISO 27001?
Zyski płynące z implementacji Systemu Zarządzania Bezpieczeństwem Informacji trudno przecenić. Gwarantują one nie tylko korzyść wizerunkową, ale przede wszystkim realne profity biznesowe. Do głównych benefitów należy zaliczyć:
- zredukowanie ryzyka przełamania zabezpieczeń informatycznych;
- zapewnienie bezpieczeństwa i poufności przechowywanych informacji;
- minimalizację ryzyk specyficznych IT, zniszczeń systemowych i związanych z tym kosztów;
- przewagę konkurencyjną wynikającą z wdrożenia powszechnie rozpoznawalnego i uznanego standardu;
- zwiększenie zaufania ze strony kontrahentów i klientów software house’u;
- ustrukturyzowany schemat, który pozwala na efektywne wdrożenie audytu compliance;
- ciągłą identyfikację ryzyk i podatności systemowych;
- niższe koszty prowadzenia działalności gospodarczej;
- większą kontrolę ryzyk w zakresie IT.
Dla klientów software house’u świadectwo wdrożenia ISO 27001 to gwarancja tego, że oprogramowanie tworzone jest w sposób bezpieczny.
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji?
Ogólne zasady Systemu Zarządzania Bezpieczeństwem Informacji zakładają zastosowanie cyklu Deminga (Planowanie – Wdrożenie – Feedback – Udoskonalenie). Na co jednak warto zwrócić uwagę w praktyce, aby włączenie normy ISO do wewnętrznej praktyki firmy przebiegło szybko i sprawnie?
Warto zacząć od wyznaczenia osób, które będą odpowiedzialne za wdrożenie ISO. Pierwszym krokiem powinno być stworzenie blueprintu projektu implementacji, który odpowie na pytania dotyczące kosztów, czasu potrzebnego na implementację norm czy konkretnych celów, które mają zostać zrealizowane.
Kolejnym etapem jest opracowanie polityki bezpieczeństwa zarządzaniem informacjami oraz zakresu niezbędnych działań w tym zakresie. Ustalenie tych kamieni milowych pozwala na ustalenie minimalnego poziomu technologicznego niezbędnego do skutecznego wdrożenia ISO 27001. U podstaw normy leży też umiejętne zarządzanie ryzykiem, czyli określenie sposobów:
- identyfikacji obszarów zagrożonych;
- opracowania rozwiązań pozwalających na wyeliminowanie lub zmniejszenie ryzyka;
- działania w razie wywołania przez czynnik ryzyka negatywnych skutków dla przedsiębiorstwa;
- transferu ryzyka na inny podmiot (np. na zakład ubezpieczeń w drodze wykupienia polisy ubezpieczeniowej).
Zarządzanie ryzykiem zwykle realizowane jest z wykorzystaniem stosownej matrycy (ang. Risk Matrix), która pozwala oszacować prawdopodobieństwo wystąpienia ryzyka oraz istotność skutków.
Dokumentacja normy ISO 27001 posługuje się również dokumentem o nazwie Statement of Applicability. To checklista, która pozwala na szybkie ustalenie, które spośród mechanizmów ochronnych wymienionych w załączniku A zostały wdrożone w przedsiębiorstwie, które firma zdecydowała się pominąć i dlaczego.
Dla weryfikacji skuteczności normy ISO należy regularnie badać jej skuteczność. To jedyny sposób, aby sprawdzić czy rzeczywiście procedury wdrożone w firmie są skuteczne. Audyt w tym zakresie powinien być przeprowadzany nie rzadziej niż raz w roku. W praktyce stosuje się zarówno analizę ilościową, jak i jakościową.
Ostatni etap wdrożenia normy obejmuje certyfikację firmy przeprowadzoną przez akredytowany podmiot. Audyt obejmuje zarówno analizę wewnętrznej dokumentacji, jak i sprawdzenie działania systemu w praktyce.
Zanim software house zostanie poddany procesowi certyfikacji należy upewnić się, że przedsiębiorstwo realizuje wszystkie założenia będące częścią ISO 27001, a pracownicy rozumieją jej istotność. Dzięki temu firma ma pewność, że audyt zakończy się powodzeniem i nie pojawi się potrzeba ponoszenia zbędnych kosztów. W tym celu warto skorzystać z usług kancelarii prawnej z wieloletnim doświadczeniem w obsłudze podmiotów z branży IT.
Potrzebujesz wsparcia prawnika? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.