informatyka@bhpex.pl

68 411 40 50

Pozostałe usługi IT

RODO|ISO 27001|Audyty bezpieczeństwa|Szkolenia

ISO 27001

Korzyści z wdrożenia systemu ISO 27001

Zastosowanie międzynarodowej normy ISO 27001 pozwala określić wymagania organizacji w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Dodatkowo norma może pomóc organizacjom w osiągnięciu zgodności z przepisami RODO w takich zakresach jak:

  • Ocena skutków dla ochrony danych tzw. DPIA (Data Protection Impact Assessment).
  • Utrzymanie zgodności prawnej z RODO.
  • Zarządzanie incydentami związanymi z utratą danych osobowych.
  • Zarządzanie aktywami, jakimi niewątpliwie są dane osobowe.
  • Zachowania prawa prywatności i warunków wglądu do danych osobowych.
  • Relacje z kontrahentami w zakresie wymiany danych osobowych i ich ochrona.

Zastosowanie wytycznych normy ISO 27001 daje możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemalże koniecznością. Coraz częściej to właśnie informacja jest najcenniejszym środkiem produkcji, bowiem jej odzyskiwanie w razie utraty jest niezmiernie kosztownym i problematycznym procesem, znacznie trudniejszym od odtwarzania jakichkolwiek innych zasobów. Ponadto ujawnienie istotnych informacji w tym danych osobowych może prowadzić do utraty konkurencyjności przez przedsiębiorstwo, a także dotkliwych kar pieniężnych. Z tego też względu informacja powinna w każdym przedsiębiorstwie podlegać szczególnej ochronie.

Zalety wyboru naszej firmy na wdrożenie ISO 27001

Wdrożenie w 1 miesiąc

Opracowana przez BHPEX metodyka sprawia, że cały proces wdrożenia normy ISO 27001 wraz z certyfikacją można skrócić nawet do 1 miesiąca. Najważniejsze jest jednak to, że tak krótki czas realizacji projektu można uzyskać bez utraty jego wysokiej jakości.

Opracowujemy dokumentację

Proces tworzenia dokumentacji systemu zarządzania bezpieczeństwem informacji został tak opracowany, aby zminimalizować zaangażowanie z Twojej strony. Konsultanci BHPEX zrealizują najbardziej czasochłonne zadania – opiszą procedury i przygotują niezbędne dokumenty.

Integrujemy istniejące procedury

Systemy projektowane przez BHPEX wykorzystują istniejące w firmie rozwiązania i w elastyczny sposób dopasowują je do wymagań normy ISO 27001. Dzięki temu ograniczamy biurokrację do minimum. Po wdrożeniu systemu żaden z Twoich pracowników nie poświęci na pracę z nim związaną więcej niż 10 minut.

Gwarancja certyfikatu

Wdrożenie ISO 27001 przez konsultantów BHPEX daje gwarancję certyfikacji. Pracujemy tak długo, aż zakład będzie spełniał wymagania systemu. Bierzemy również udział w audycie przez jednostkę certyfikującą.

Brak nakładów finansowych

Gwarantujemy, że nie musicie kupować żadnego oprogramowania, maszyn czy też zatrudniać kogokolwiek w związku z wdrażaniem czy utrzymywaniem wdrożonego przez BHPEX systemu ISO 27001.

20 lat doświadczenia

Nasi konsultanci pracują na terenie całej Polski. Posiadamy ponad 20 lat doświadczenia w zarządzaniu systemami bezpieczeńśtwa – dzięki temu nasi konsultanci mają doświadczenie we wdrażaniu norm ISO 27001 w wielu różnorodnych branżach. Gwarantuje to najwyższą jakość realizowanych projektów.

Bezpłatne wsparcie

Przez okres 6 miesięcy po pozytywnym przejściu audytu i uzyskaniu przez Twoją firmę certyfikatu, Ty i Twój zespół będziecie mogli kontaktować się z konsultantem BHPEX w celu uzyskania odpowiedzi na nurtujące Was pytania dotyczące systemu zarządzania bezpieczeństwem informacji ISO 27001.

Jesteśmy praktykami

BHPEX to firma informatyczna, nasi konsultanci to informatycy. Posiadamy jedne z najwyższych w kraju kwalifikacje i doświadczenienie informatyczne. Przy wdrożeniu ISO kierujemy się dobrymi praktykami informatycznymi, a nie teorią, która nic nie wnosi.

Etapy wdrażania systemu ISO 27001

Etap 1

Uzyskanie wsparcia kierownictwa i wyznaczenie celów

Podjęcie decyzji o wdrożeniu SZBI zgodnego z ISO/IEC 27001 powinno zawsze rozpocząć się od uzyskania zaangażowania / potwierdzenia najwyższego kierownictwa w organizacji. Ta grupa decyduje o przydzieleniu zasobów oraz budżetu na zdefiniowanie i utrzymywanie systemu zarządzania. Wyznacza dla niego cele oraz komunikuje i nadzoruje go w organizacji.

Wyznaczenie celów jest procesem iteracyjnym, czego konsekwencją jest ich coroczna aktualizacja. Cele związane z systemem bezpieczeństwa informacji powinny być wskazane przez najwyższe kierownictwo i odzwierciedlać potrzeby biznesowe oraz regulacyjne organizacji.

Etap 2

Zdefiniowanie zakresu systemu

Norma ISO/IEC 27001 jest dosyć mocno osadzona w realiach i technicznych wymaganiach ochrony informacji. Dlatego organizacja powinna w pierwszej kolejności wybrać te zabezpieczenia i wymagania normy, które się bezpośrednio do niej odnoszą. Norma definiuje procesy, jakie powinny składać się na System Zarządzania organizacji, jak również zabezpieczenia, które organizacja powinna wdrożyć celem ochrony informacji. Wyniki tych działań służą następnie jako wejście do kolejnych kroków wdrożenia.

Etap 3

Inwentaryzacja zasobów i analiza ryzyka

Kolejnym krokiem jest inwentaryzacja zasobów związanych z przetwarzaniem informacji i wykonanie dla nich analizy ryzyka. Czym jest inwentaryzacja zasobów? Jest to systematyczny przegląd, w wyniku którego następuje opisanie zasobów służących przetwarzaniu informacji w organizacji np. komputery, urządzenia sieciowe, itp.

Zinwentaryzować należy tylko te zasoby, które są istotne z punktu widzenia przetwarzania informacji. Warto zaznaczyć, że ta część pokrywa się z wymaganiami określonymi w Rozporządzeniu o Ochronie Danych Osobowych (UE) 2016/679 tzw. RODO, zgodnie z którym organizacja jest zobowiązana wskazać i zarządzać zbiorami danych zawierającymi dane osobowe.

Dla każdego wskazanego zasobu lub ich kategorii, przeprowadza się analizę ryzyka, która ma na celu określenie ryzyka związanego, np. z utratą tego typu informacji. Następnie dla każdego zasobu przydziela się osobę/rolę odpowiedzialną i określa plan postępowania z ryzykiem.

Etap 4

Zdefiniowanie Systemu Zarządzania Bezpieczeństwem Informacji

Na tym etapie wdrożenia mamy już zagwarantowane poparcie kierownictwa, wyznaczone cele, zinwentaryzowane zasoby oraz dostępne wyniki analizy ryzyka i ustalony plan postępowania z ryzykiem. W konsekwencji można przystąpić do definiowania pozostałych elementów Systemu Zarządzania Bezpieczeństwa Informacji oraz implementacji zabezpieczeń w organizacji. Zazwyczaj jest to proces iteracyjny w wyniku, którego definiowane są następujące elementy składające się na SZBI. Są to polityki, procesy, procedury, instrukcje, szkolenia, itd.

Ten zakres czynności zazwyczaj przeprowadzany jest przez konsultanta BHPEX. System zarządzania powinien z jednej strony odzwierciedlać rzeczywiste procesy w organizacji, a z drugiej wnieść usprawnienia w wybranych obszarach.

Etap 5

Szkolenia i budowanie kompetencji dla Ról

Na tym etapie wdrożenia ISO 27001 organizacja powinna określić kompetencje oraz umiejętności osób/ról zaangażowanych w System Zarządzania Bezpieczeństwem Informacji. Pierwszym krokiem po zdefiniowaniu SZBI jest jego objaśnienie i przekazanie organizacji informacji o zakresie i sposobie działania SZBI oraz wpływie każdego pracownika na bezpieczeństwo informacji. Element ten powinien być wbudowany w system zarządzania organizacji poprzez zdefiniowanie ról, wymagań co do kompetencji osób je pełniących oraz sposobu przekazywania tej wiedzy nowym pracownikom i odświeżania jej u osób już przeszkolonych. Warto zdefiniować na tym etapie szkolenia, poradniki oraz profile kompetencyjne dla poszczególnych ról.

Z przykładowych ról z obszaru bezpieczeństwa informacji warto wymienić te wspólne dla większości wdrożeń, takie jak:

  • Administrator Systemu Informatycznego – rola reprezentująca osoby odpowiedzialne za zarządzanie infrastrukturą IT organizacji
  • Rozporządzenie o Ochronie Danych Osobowych (RODO) (UE) 2016/679 wskazuje na konieczność powołania Inspektora Ochrony Danych.

Etap 6

Utrzymanie i monitorowanie systemu

Przed przystąpieniem do certyfikacji system zarządzania bezpieczeństwem informacji powinien już działać w organizacji. Należy dążyć do tego, aby w pełni zdefiniowany system był wdrożony i utrzymywany w organizacji od co najmniej miesiąca lub dwóch przed rozpoczęciem audytu certyfikującego.

Jest to czas na przeprowadzenie wymaganych szkoleń, wykonanie przeglądu systemu zarządzania, wdrożenie wymaganych zabezpieczeń, dostosowanie analizy ryzyka i planu zarządzania ryzkiem. W tym okresie powinny być także wykonane pierwsze działania z planu utrzymania infrastruktury i zarządzania bezpieczeństwem informacji.

Dzięki temu, w momencie nadejścia audytu certyfikującego organizacja będzie miała udokumentowane informacje i rekordy wykonania wskazujące na to, że System Zarządzania Bezpieczeństwem Informacji jest wdrożony i skuteczny. Pamiętajmy, że podstawowym wymaganiem dla każdego systemu zarządzania jest jego zdolność do ciągłego doskonalenia uzyskiwana poprzez monitorowanie, audyty wewnętrzne, zgłaszanie akcji korygujących i systematyczne przeglądy systemu zarządzania.

Etap 7

Audyt certyfikujący ISO/IEC 27001

Wdrożenie systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie jest potwierdzane certyfikatem spełniana wymagań normy ISO/IEC 27001. Aby uzyskać taki certyfikat należy przejść przez audyt certyfikujący przez zewnętrzną jednostkę certyfikującą systemy zarządzania. Audyt certyfikujący składa się z dwóch faz. W fazie I zazwyczaj sprawdzany jest zakres i kompletność SZBI – czyli następuje formalna ocena wymaganych elementów systemu zarządzania, w fazie II weryfikowane jest, czy system został wdrożony w organizacji i rzeczywiście odpowiada działaniom przedsiębiorstwa.

Po poprawnym przejściu przez procesy audytu certyfikującego, organizacji wydawany jest certyfikat ISO/IEC 27001. W celu jego utrzymania konieczne jest utrzymywanie i doskonalenie systemu zarządzania bezpieczeństwem informacji, sprawdzane audytami podtrzymującymi.

Etap 8

Utrzymywanie i ciągłe doskonalenie

Jeżeli Twoja organizacja jest już posiadaczem certyfikatu ISO/IEC27001, najwyższe kierownictwo może założyć, że podstawowe zasoby związane z przetwarzaniem informacji i danych osobowych zostały zidentyfikowane, ryzyka są wskazane oraz wdrożono odpowiednie zabezpieczenia i środki, które adresują główne ryzyka.

Certyfikowany system należy teraz utrzymywać i doskonalić poprzez zarządzanie bezpieczeństwem informacji. Podczas wykonywania czynności i zabezpieczeń osoby zaangażowane w te prace będą zgłaszały pomysły usprawnień i zmian. Poprzez przeprowadzanie audytów systemu zarzadzania organizacja będzie pozyskiwała informacje, które z zabezpieczeń i procesów wymagają usprawnień. Wyniki monitorowania działania systemu oraz jego status będzie prezentowany najwyższemu kierownictwu w ramach przeglądu systemu zarządzania.

Najważniejszym założeniem każdego systemu zarządzania jest jego zdolność do ciągłego doskonalenia oraz dostosowania do zmieniającego się kontekstu wewnętrznego i zewnętrznego organizacji.