KORZYŚCI Z CERTYFIKACJI ISO/ IEC 27001
DLACZEGO WARTO UBIEGAĆ SIĘ
O CERTYFIKAT ISO/ IEC 27001?
Dla współczesnych organizacji, informacja stanowi niezwykle istotną wartość. Do poprawnego funkcjonowania organizacji, niezbędne jest posiadanie i przetwarzanie danych dotyczących firmy, jej wyrobów czy usług, stosowanych strategii biznesowych, czy klientów. Postęp technologii informatycznych zwiększył możliwości przechowywania i wymiany informacji, ale jednocześnie przyczynił się do wzrostu zagrożeń dla bezpieczeństwa informacji. Problem z odpowiednim zabezpieczeniem istotnych informacji często nie jest kwestią braku rozwiązań technologicznych, tylko raczej wynika z nieświadomości pracowników oraz niewłaściwego zarządzania informacjami.
W odpowiedzi na wzrastające potrzeby ochrony danych powstała norma ISO/ IEC 27001: 2013, która jest pierwszą normą międzynarodową wyznaczającą wymagania dla stworzenia uporządkowanego systemu zarządzania bezpieczeństwem informacji. Norma ta nie narzuca jednolitych zabezpieczeń, a jedynie podaje wytyczne, które pomagają organizacji określić swoje potrzeby w zakresie bezpieczeństwa informacji, oraz ułatwiają wdrożenie odpowiednich zabezpieczeń, dostosowanych do indywidualnych wymagań. Warto zauważyć, że w normie jest mowa o informacji przechowywanej i wymienianej na wszelkie sposoby. Norma nie koncentruje się tylko na informacji cyfrowej.
WYMAGANIA SYSTEMU ISO/ IEC 27001
System zgodny z wymaganiami ISO/ IEC 27001 polega głównie na wdrożeniu odpowiednich procedur, polityki czy procesów mających zapewnić bezpieczeństwo przechowywanych i przetwarzanych informacji. Norma ISO/ IEC 27001 jest oparta na założeniu ciągłego doskonalenia, będącego podstawą większości popularnych norm ISO.
Podobnie jak normy innych systemów zarządzania, ISO/ IEC 27001 wymaga planowania systemu, wdrażania odpowiednich działań, sprawdzenia ich skuteczności oraz doskonalenia systemu. W ramach tego znanego cyklu P-D-C-A, System Zarządzania Bezpieczeństwem Informacji (SZBI) wprowadza kilka elementów, właściwych tylko dla zarządzania bezpieczeństwem informacji. Jednym z nich jest konieczność przeprowadzenia inwentaryzacji wszystkich zasobów informacyjnych oraz sporządzenie wykazu aktywów dostępnych w organizacji. Do aktywów należą na przykład: wzory dokumentów, archiwa, programy, komputery a także zasoby ludzkie. Kolejnym elementem systemu zarządzania bezpieczeństwem informacji jest klasyfikacja informacji. Każda informacja przetwarzana lub przechowywana przez organizację powinna zostać przypisana do określonej grupy.
GŁÓWNE GRUPY INFORMACJI TO:
- informacje poufne
- informacje do użytku wewnętrznego
- informacje publiczne
Poza klasyfikacją, należy również określić sposób postępowania z informacją. Przez postępowanie z informacją należy rozumieć między innymi sposób oznaczania, dystrybucji oraz archiwizacji i usuwania informacji. Poprawna klasyfikacja i określenie metod zarządzania informacjami umożliwi prawidłowy nadzór nad informacjami, tym samym ułatwiając zabezpieczenie ich przed niewłaściwym użyciem czy utratą.
DLA KOGO PRZEZNACZONY JEST SYSTEM ISO/ IEC 27001?
Norma ISO/ IEC 27001: 2013 jest uniwersalna, dlatego można zastosować ją w każdej organizacji, dla której informacja stanowi istotną wartość. Do takich organizacji mogą należeć jednostki administracji publicznej, służba zdrowia, banki i wszelkie inne przedsiębiorstwa usługowe, czy produkcyjne, które przechowują czy przetwarzają istotne informacje.
PRZENIESIENIE CERTYFIKATU DO BM TRADA
Proces transferu certyfikatu zostaje przeprowadzony w przypadku, gdy certyfikowana firma chce zmienić jednostkę certyfikującą bez utraty ważności swoich certyfikatów.
Transferu certyfikatu można dokonać na każdym etapie cyklu certyfikacji, tzn. zarówno na etapie audytu nadzorującego, jak i podczas re-certyfikacji.
Warunkiem przeprowadzenia transferu jest spełnienie następujących warunków:
- posiadanie ważnego certyfikatu, wydanego przez akredytowaną jednostkę
- posiadanie raportów z audytu certyfikującego oraz audytów nadzoru i ewentualnych kart niezgodności
(z całego poprzedniego cyklu certyfikacji) - zamknięcie wszystkich głównych niezgodności zidentyfikowanych w trakcie poprzedniego audytu.
W celu rozpoczęcia transferu certyfikatu, należy skontaktować się z jednostką certyfikującą i przesłać wszystkie wymagane dokumenty. Jeśli organizacja kwalifikuje się do transferu oraz akceptuje ofertę jednostki, możliwe będzie podpisanie umowy na certyfikację.
Organizacja, która dokonała transferu, otrzymuje certyfikat od nowej jednostki.
Jeśli nie postanowiono inaczej, kolejne audyty nadzoru lub re-certyfikacji odbędą się zgodnie z programem ustalonym przez poprzednią jednostkę certyfikującą.