Czy wdrożenie normy ISO 27001 jest obowiązkowe
Standard to słowo przez wielu ludzi postrzegane jako zjawisko pożądane, gdyż odzwierciedla wizję bliżej nie określonego porządku. Z punktu widzenia etymologi tak właśnie jest, gdyż stanowi on normy określające wymagania stawiane komuś lub czemuś. Jest ono hasłem szczególnie lotnym w branży biznesowej. Szefowie spółek pragnący ukazać swoją firmę w sposób najbardziej transparentny i reprezentacyjny siłą rzeczy będą zainteresowani wniesieniem do niej powszechnie cenionych standardów. Rodzący się z ludzkich oczekiwań poziom wykonywanych czynności, ich jakości i bezpieczeństwa przyczyniły się do powołania specjalnych ogólnie akceptowalnych choć fakultatywnych norm o charakterze międzynarodowym. Międzynarodowa Organizacja Normalizacyjna w skrócie ISO (z gr. isos – równość) utworzyła całą rodzinę odmiennie kodowanych norm dotyczących specyficznych działań, które w założeniu wpływać mają pozytywnie na prowadzone przedsiębiorstwo. W Polsce, jak i na świecie najpopularniejszymi standardami ISO są:
a) ISO 9001 – zarządzanie jakością
b) ISO 14001 – ochrona środowiska
c) ISO 27001 – bezpieczeństwo informacji
d) ISO 45001 – ochrona zdrowia i BHP
Artykuł ten choć skupi się na tytułowej normie dotyczącej bezpieczeństwa informacji zawierać będzie odpowiedź na tytułowe pytanie, które w równym stopniu dotyczyć będą również pozostałych norm. Zaznaczyć wypada, że pojęcie „norma” w niniejszym tekście stosowane jest w rozumieniu art 2. ust. 4 ustawy z dnia 12 września 2002 r. o normalizacji definiującej ją jako: „dokument przyjęty na zasadzie konsensu i zatwierdzony przez upoważnioną jednostkę organizacyjną, ustalający – do powszechnego i wielokrotnego stosowania – zasady, wytyczne lub charakterystyki odnoszące się do różnych rodzajów działalności lub ich wyników i zmierzający do uzyskania optymalnego stopnia uporządkowania w określonym zakresie”.
Spis:
1. Czym jest ISO 27001 i jakie konsekwencje niesie za sobą wprowadzenie tej normy
2. Proces wdrażania normy i wydawania certyfikatów
3. Podsumowanie
1. ISO – International Organization for Standardization jak i normy przez tą organizację opracowane zostały powołane do spełnienia wszelkich działań mogących poprawić jakość oferowanych towarów i usług. Efektem wprowadzenia norm jest :
– wzrost zadowolenia i zaufania klientów
– ogólne usprawnienie działań i struktur firmy
– gwarancja jakości
– zapewnienie silnej pozycji na rynku itp.
Międzynarodowa Organizacja Normalizacyjna jest jednym z trzech podmiotów wymienionych w art. 2 pkt. 9 rozporządzenia 1025/2012 oznaczających międzynarodową jednostkę normalizacyjną.
Ze wszystkich norm jakie obecnie cieszą się największym zainteresowaniem jest norma o kodowanej nazwie ISO 27001. Jest ona odpowiednikiem brytyjskiej trzyczęściowej normy BS 7799 stanowiącej podstawę SZBI(Systemu Zarządzania Bezpieczeństwem Informacji). W polskim porządku prawnym występuje jako PN-ISO/IEC 27001. Popyt na bezpieczeństwo i narzędzia pozwalające na jego skuteczne wdrożenie w niemal każdej dziedzinie był zawsze wysoki, a w ostatnim czasie ma on tendencje wzrostową, szczególnie w zakresie cyberbezpieczeństwa Norma ISO 27001 jest narzędziem powołanym do jego zapewnienia w kwestii ochrony informacji, poufności i integralności. Korzyści do jakich przyczynia się zdobycie certyfikatu tej normy objawiają się na wielu zróżnicowanych płaszczyznach np.:
A. Formalnej:
a) zwiększenie zaufania i wiarygodności klientów i kontrahentów
b) maksymalne zapewnienie poufności danych
c) przewagę konkurencyjną wynikającą z wdrożenia powszechnie rozpoznawalnego i uznanego standardu
B. Technicznej:
a) ochrona przed oszustwami komputerowymi
b) zwiększenie integralności pozwalającej na zapewnieniu metod dokładnego i bezpiecznego transferu danych
c) niższe koszty prowadzenia działalności gospodarczej
2. Z powyższego opisu wynika, że norma ISO 27001 jest niczym innym, jak nieco bardziej zaawansowanym i sformalizowanym przewodnikiem, który w zasadzie może wprowadzić każdy zainteresowany. W rzeczywistości sprawa jest bardziej złożona. O ile teoretycznie możliwe jest samodzielne wdrożenie systemu, tak w praktyce przypadki takie się owszem zdarzają, ale stanowią jedynie niewielki odsetek przypadków. Gwarantem umożliwiającym skuteczne wprowadzenie normy ISO 27001 jest posiadanie odpowiednich kompetencji i wiedzy wykraczającej poza ramy ogólne. Oczywistym dla przedsiębiorcy chcącym poczynić postęp w procesie wdrożenia owej normy będzie zatrudnienie nowego pracownika ds. Bezpieczeństwa Informacji albo skorzystanie z usług konsultanta przy okazji oszczędzając na czasie i wysiłku. Innym zaś podmiotem mogącym znacznie wspomóc przedsiębiorcę jest pełnomocnik ISO, należy jednak wskazać, że każdy pełnomocnik ma swoją dziedzinę w której działa, niezbędna jest weryfikacja kompetencji i wiedzy przed rozpoczęciem wdrożenia. Do zakresu jego obowiązków należy nadzorowanie funkcjonowania Systemu Zarządzania. Mimo zakresu obowiązków jakim obliguje go do należytego monitorowania systemu pełną odpowiedzialność ponosi kierownictwo organizacji.
Firma, która postanowiła spełnić u siebie wymagania normy ISO 27001 powinna zgłosić się do akredytowanej jednostki certyfikującej i zawrzeć z nią umowę. Jest to o tyle istotne, że ów certyfikat stanowi potwierdzenie spełnienia wymagań w zakresie bezpieczeństwa informacji zgodne z ISO27001 o które przedsiębiorca zabiegał.
Opierając się na czynnikach takich jak ilość pracowników,lokalizacji, procesów oraz systemów informatycznychfirmy akredytowana jednostka certyfikująca przestawia swoją ofertę na certyfikację. W przypadku przyjęcia oferty przez przedsiębiorcy proces certyfikacji rozpoczyna się przygotowaniem planu audytu.
Audyt jest procesem zbierania dowodów z prawidłowego funkcjonowania systemu, który może przybrać określoną formę w zależności od organizacji się jej poddającej. Może być przeprowadzany w formie klasycznej, czyli fizycznie przez jednego audytora lub cały zespół audytorów. Pierwszą czynnością jaką wykonuje audytor prowadzący jest tzw. spotkanie otwierające, na którym nakreślenia czynności związane z procesem przeprowadzanego audytu. Drugą jest zbadanie wybranej przez siebie części działającego systemu, który w zależności od organizacji zająć może nawet kilka dni. Trzecią i ostatnią czynnością jest tzw. spotkanie zamykające. Stanowi ono etap podsumowania, na którym audytor referuje ustalenia i wnioski płynące z przeprowadzonych czynności. Wnioski te potwierdzając zgodność działania systemu wraz z dokumentacją stanowiącą dowód zostają w raporcie na podstawie którego zostaje wystawiony certyfikat. Jeśli podczas audytu zostały wykryte niezgodności, są one zapisywane w raporcie oraz wyznaczany jest czas i osoba odpowiedzialna. Po zamknięciu wszystkich niezgodności, jednostka certyfikująca wystawia certyfikat potwierdzający zgodność wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji z normą.
Istotą całego procesu wdrażania normy jest świadomość pracowników. Stanowi ona niebagatelny czynnik, który w sposób bezpośredni wpływa na realne realizowanie założeń standardu, jak i samej organizacji. Każdy pracownik powinien być zaznajomiony z polityką bezpieczeństwa panującą w jego środowisku przez co rozumie się między innymi:
a) przestrzeganie wytycznych przy korzystaniu z systemów i aplikacji firmowych
– np. nie zapisywać danych w chmurze oraz na prywatnych pendrive’ach
b) dokładne zapoznanie się z regulaminem określającego zachowanie w określonych sytuacjach np. nie instalowania nowego oprogramowania bez zgody kierownictwa
c) pilnowanie kontroli dostępu do urządzeń elektronicznych i danych.
3. PN-ISO/IEC 27001 jak było o tym wspomniane wyżej jest uregulowanym w Polsce odpowiednikiem międzynarodowego standardu ISO 27001 – czyni go to polską normą. Zgodnie bowiem z art. 5 ust 3 ustawy z dnia 12 września 2002 r. o normalizacji ma ona charakter dobrowolny. Uwadze jednak nie powinien umknąć fakt, że szeroko rozumiany rynek nie pozostaje obojętny na sprawy związane z wprowadzaniem norm ISO. Uzyskanie certyfikatu jest niemal równoznaczne z posiadaniem legitymacji bezpieczeństwa informacji świadczonych dóbr czy usług – lub obu naraz w zależności od prowadzonej działalności. Kluczem do sukcesu organizacji jest przekonanie do niej klientów poprzez prowadzenie szeregu zabiegów marketingowych wymagających zaangażowania czasu, nakładów i kreatywności. Certyfikat ISO stanowi tutaj dodatkową możliwość ukazania transparentności działalności w stosunkowo prosty sposób. Stanowi on atrakcyjną ofertę zwłaszcza dla nowych firm stawiających pierwsze kroki na rynku.
Odpowiadając na pytanie zadane w tytule należało by stwierdzić, że ma ona charakter fakultatywny. Z punktu widzenia prawa – ustawy o normalizacji – stosowanie polskiej normy jest dobrowolne. Pamiętając jednakże o tym, że w dłuższej perspektywie certyfikat ISO 27001 oferuje niepomierne atrybuty w stosunku do nie posiadającej go konkurencji. Co więcej jego posiadanie jest konieczne do bezpiecznego rozwoju organizacji, a to znowu wiąże się z jej dalszym prosperowaniem. Coraz więcej podmiotów decyduje się na jej wdrożenie zyskując czas, klientów i pieniądze zapewniających mu zysk. Patrząc na to w ten sposób przekonać się można, że pomimo iż norma ISO 27001 istotnie ma charakter fakultatywny to przedsiębiorca po rozważeniu wszelkich za i przeciw prawie na pewno ubiegać się będzie o ten certyfikat. Nadmienić należy, iż wiele instytucji i branż wymaga, bądź będzie wymagać od swoich dostawców wdrożenia systemów bezpieczeństwa informacji. Wymienić tutaj można chociażby, branżę motoryzacyjną, gdzie koncerny samochodowe wymagają wdrożenia wymagań TISAX od swoich poddostawców. Jak również nowa dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – tzw. dyrektywa NIS 2 nakłada obowiązki na podmioty sklasyfikowane jako kluczowe oraz ważne w zakresie szeroko pojętego cyberbezpieczeństwa. Kończąc warto jeszcze wspomnieć że wdrożenie nawet podstawowych procedur bezpieczeństwa informacji zapewni nam spokój oraz może uratować nasze dane czy pieniądze na rachunku bankowym przed cyberatakiem.