Czym jest System ISO 27001?
14 października 2005 r. została opublikowana norma ISO/IEC 27001 zawierająca wymagania dla Systemów Zarządzania Bezpieczeństwem Informacji. Jest to międzynarodowy standard, który określa ramy pozwalające przedsiębiorstwu stworzyć, wdrożyć i skutecznie monitorować System Zarządzania Bezpieczeństwem Informacji.
Norma ISO 27001 oparta jest na założeniach brytyjskiego standardu bezpieczeństwa BS 7799 i stanowi zestaw wytycznych dla wdrożenia i utrzymania bezpieczeństwa informacji w przedsiębiorstwie. Poszczególne rozdziały normy poświęcone są takim zagadnieniom, jak polityka bezpieczeństwa, klasyfikacja aktywów organizacji i bezpieczeństwa osobowego, czy też sposoby kontroli dostępu, rozwoju i utrzymania systemu.
Zastosowanie wytycznych normy daje możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemalże koniecznością. Coraz częściej to właśnie informacja jest najcenniejszym środkiem produkcji, bowiem jej odzyskiwanie w razie utraty jest niezmiernie kosztownym i problematycznym procesem, znacznie trudniejszym niż odtwarzanie jakichkolwiek innych zasobów. Ponadto ujawnienie istotnych informacji może prowadzić do utraty konkurencyjności przez organizację. Z tego też względu informacja powinna w każdym przedsiębiorstwie podlegać szczególnej ochronie.
Korzyści z stosowania normy ISO 27001
Korzyści wynikające z zastosowania metodologii zarządzania bezpieczeństwem informacji zgodnej z normą ISO 27001, to:
- bezpieczeństwo wszystkich informacji korporacyjnych, zwiększenie wartości firmy
- jasne określenie uprawnień i odpowiedzialności pracowników
- realizacja celów firmy poprzez eliminowanie zagrożeń
- zagwarantowanie kontrahentom, powierzającym certyfikowanym organizacjom swoje dane/informacje, że są one bezpieczne
- pełna integracja z systemem zarządzania jakością i informatycznym w firmie
Wdrożenie Normy ISO 27001 pozwala na zapewnienie:
- poufności - daje gwarancję, że informacje są dostępne tylko i wyłącznie dla autoryzowanych osób - pracowników, posiadających prawo dostępu do danych
- integralności - zabezpiecza ona dokładność i kompletność zarówno informacji, jak też i stosowanych metod jej ochrony
- dostępności - gwarancja, że użytkownicy posiadający stosowne uprawnienia mają stały dostęp do informacji i zgromadzonych zasobów.