PN-EN ISO/IEC 27001

Norma PN-EN ISO/IEC 27001 (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Systemy zarządzania bezpieczeństwem informacji — Wymagania) przedstawia model systemu zarządzania bezpieczeństwem informacji (SZBI) stworzony przez Międzynarodową Organizację Normalizacyjną (ISO). Określa szczegółowe wymagania, jakie należy spełnić, aby ustanowić, wdrożyć i utrzymać w organizacji spełniający wysokie standardy, nowoczesny system zarządzania bezpieczeństwem informacji. Wymagania te obejmują wszystkie etapy działania systemu – od ustanowienia i wdrożenia, przez eksploatację i monitorowanie, aż po przegląd, utrzymanie i doskonalenie.

Norma PN-EN ISO/IEC 27001 jest uniwersalna. Zgodny z nią system zarządzania bezpieczeństwem informacji można wprowadzić w każdej organizacji, niezależnie od skali i charakteru działalności.

Informacje, czyli cenny zasób każdej organizacji

Informacje mają wymierną wartość zarówno finansową, jak i strategiczną. Są jednym z najcenniejszych zasobów każdej organizacji, dlatego też stale narażone są na liczne zagrożenia (nieuprawniony dostęp, modyfikację czy utratę) i wymagają ochrony. 

Zarządzanie w obszarze bezpieczeństwa informacji obejmuje jednak znacznie szersze działania niż tylko ochronę systemów informatycznych (zabezpieczenia techniczne). Służy również zapewnieniu bezpieczeństwa danych osobowych, umów, strategii, patentów, informacji handlowych i innych stanowiących tajemnicę przedsiębiorstwa, często przesądzających o jego przewadze konkurencyjnej. 

Szeroko zakrojone działania w zakresie bezpieczeństwa informacji powinny być ponadto priorytetem w zarządzaniu organizacją – dziś to już nie wybór, lecz konieczność. Potrzebny jest efektywny system zarządzania bezpieczeństwem informacji, który pomaga organizacji sprawnie identyfikować ryzyko i kontrolować zagrożenia, zanim przerodzą się w rzeczywiste incydenty.

Spełnienie wymagań regulacyjnych

Ochrona przed utratą informacji to także prawny obowiązek, który (w różnym stopniu) dotyczy większości podmiotów prowadzących działalność gospodarczą – za jego niedopełnienie grożą poważne sankcje karne i finansowe. Wraz z przystąpieniem do Unii Europejskiej na polskich przedsiębiorców spadło w tym zakresie wiele zobowiązań.

Obecnie w kontekście bezpieczeństwa informacji szczególne znaczenie ma unijne ogólne rozporządzenie o ochronie danych (RODO), uzupełnione krajową Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych. To m.in. do ich wymagań należy dostosować systemy informatyczne oraz procedury postępowania stosowane w organizacji. Każda organizacja jest zobowiązana podjąć wszelkie działania zapewniające odpowiednią do ryzyka ochronę przetwarzanych informacji.

Wymagania aktualnej normy ISO/IEC 27001:2022 pokrywają się z obowiązującymi przepisami. Wdrożenie zgodnego z nią systemu zarządzania bezpieczeństwem informacji oznacza więc także spełnienie regulacji prawnych.

System zarządzania bezpieczeństwem informacji: wsparcie w codziennym zarządzaniu

Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001 pomaga chronić zasoby, ale stanowi także wsparcie w codziennym kierowaniu organizacją.

Zgodnie z wymaganiami normy organizacja musi zdefiniować politykę bezpieczeństwa i wyznaczyć mierzalne cele w zakresie ochrony informacji. Niezbędne jest przeprowadzenie analizy ryzyka, której wyniki służą do określenia priorytetów, sposobów zarządzania bezpieczeństwem informacji i środków kontroli. A od oceny ryzyka związanego z ochroną danych zależą też późniejsze kontrole bezpieczeństwa w poszczególnych obszarach (takich jak bezpieczeństwo zasobów ludzkich czy zarządzanie incydentami). Z ustanowionymi procesami, procedurami i instrukcjami wszyscy w organizacji znają swoje cele, zadania i odpowiedzialności.

Wdrożenie SZBI zgodnego z normą ISO/IEC 27001 zwiększa także samą świadomość zagrożeń wśród pracowników – a to może się przełożyć na ograniczenie liczby błędów i incydentów wynikających z nieostrożności.

Wśród najczęstszych korzyści z wdrożenia i certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001 organizacje wymieniają:

• Ułatwienie spełniania wymagań prawnych – wdrożenie SZBI zgodnego z normą i certyfikacja ISO/IEC 27001 pomagają uporządkować i ukształtować polityki, procedury, procesy i systemy informatyczne w taki sposób, aby były zgodne z obowiązującymi przepisami, w tym RODO. 
• Wzrost świadomości pracowników w kontekście bezpieczeństwa informacji – solidnie przeszkolony zespół to natomiast mniejsze ryzyko przypadkowych, nieumyślnych naruszeń danych i cyberprzestępstw (m.in. phishingu, wyłudzania informacji).
• Lepsza identyfikacja zagrożeń i ograniczenie ich skutków – organizacja może skuteczniej rozpoznawać ryzyko i nim zarządzać. Efektywny SZBI pomaga jej też sprawniej reagować na ewentualne incydenty i zmniejszać ich wpływ na swoją działalność.
• Stałe podnoszenie jakości usług i procesów – certyfikacja ISO/IEC 27001 wymaga ciągłego doskonalenia SZBI (m.in. zgodnie z cyklem Deminga: Plan-Do-Check-Act). Systematyczne przeglądy systemu oraz audyty wewnętrzne i audytu nadzoru są narzędziami rozwoju organizacji.
• Zachowanie poufności, integralności i dostępności informacji – certyfikat ISO/IEC 27001 potwierdza, że dane i informacje przetwarzane i gromadzone przez organizację są skutecznie chronione przed nieautoryzowanym dostępem, utratą lub modyfikacją.
• Pełny nadzór nad procesami przetwarzania informacji – organizacja skutecznie monitoruje cały cykl życia informacji, dlatego może łatwiej rozpoznawać potencjalne zagrożenia i efektywniej zarządzać ryzykiem.
• Zwiększenie zaufania klientów, partnerów biznesowych czy inwestorów – certyfikacja jest sygnałem, że organizacja odpowiedzialnie podchodzi do kwestii bezpieczeństwa informacji. Potwierdza też stosowanie najwyższych standardów.

Certyfikacja systemu zarządzania ISO/IEC 27001 przeprowadzona przez Polskie Centrum Badań i Certyfikacji potwierdzona jest certyfikatem PCBC S.A. i prestiżowym certyfikatem IQNET (międzynarodowej sieci jednostek certyfikujących), uznawanym na całym świecie.

PCBC S.A. przeprowadza szkolenia w zakresie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001, przeznaczone dla kadry zarządzającej, osób odpowiedzialnych za wdrożenie i audytorów wewnętrznych, a także wszystkich pracowników organizacji.

Organizacje, które wdrożyły system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001, PCBC S.A. zaprasza do złożenia wniosku o wycenę kosztów, na podstawie którego przygotuje ofertę certyfikacji.

Po dopełnieniu formalności PCBC S.A. przeprowadzi audit certyfikujący. Jeżeli auditor nie stwierdzi niezgodności lub organizacja właściwie je skoryguje, jednostka certyfikująca podejmie decyzję o przyznaniu certyfikatu oraz wyda certyfikaty PCBC S.A. i IQNET. 

Polskie Centrum Badań i Certyfikacji S.A. nadzoruje certyfikowany system zarządzania bezpieczeństwem informacji, a po upływie trzech lat przeprowadza proces ponownej certyfikacji.

Komunikat z dn. 05.03.2024 w sprawie aktualizacja normy ISO/IEC 27001
Program Certyfikacji ISMS – przypomnienie o okresie przejścia

Komunikat z dn. 24.03.2023 w sprawie aktualizacja normy ISO/IEC 27001
Program Certyfikacji ISMS – Informacja dla certyfikowanych Organizacji

Komunikat z dn. 25.10.2022 w sprawie aktualizacji normy ISO/IEC 27001 – Program Certyfikacji ISMS – Informacja dla certyfikowanych Organizacji