Czym jest ISO/IEC 27001 i dlaczego warto go wdrożyć?

Klaudia Wach

Informacje są niezwykle ważnym zasobem każdej organizacji, dzięki którym organizacja ma duży potencjał na ekspansję i szansę na rozwój. Z drugiej strony, źle zarządzane informacje mogą sprawić, że firma zacznie chylić się ku upadkowi. Dlatego też, certyfikat ISO (International Organization for Standardization)/IEC (International Electrotechnical Commission) 27001, czyli Zarządzanie Bezpieczeństwem Informacji staje się pewnego rodzaju must have'em na drodze rozwojowej organizacji. Daje on swobodę postępu, wprowadzania inicjatyw oraz rozszerzania bazy klientów ze świadomością, że wszystkie informacje są bezpieczne.

Czym jest ISO/IEC 27001?

Niestety konsekwencje złego przetwarzania danych, ich przetrzymywania czy braku ochrony sa bardzo dotkliwe. Każdy wyciek, utrata czy zniekształcenie danych, które ma wpływ na zmianę treści, istotę lub formę przekazywanej informacji wiąże się z zachwianiem ciągłości działania, utratą zaufania do organizacji, niezadowoleniem, bądź nawet utratą klienta. Norma ISO/IEC 27001 pomaga w zapewnieniu ciągłości biznesu, bez względu na okoliczności, w szczególności te mniej sprzyjające. System ten został zaprojektowany w taki sposób, aby zapewnić adekwatne i proporcjonalne zabezpieczenia, które w odpowiedni sposób chronią wszystkie aktywa informacyjne w firmach.

Czym jest ISO 27001 przyklad

Planowanie wdrożenia systemu - jak wyglądała nasza podróż?

Nasza podróż z wdrożeniem Systemu Zarzadzania Bezpieczeństwa Informacji zaczęła sie w 2018 roku, kiedy to, pierwszy raz zaczęliśmy się zastanawiać usystematyzowaniem naszej struktury informacyjnej. Chcieliśmy świadomie zarządzać swoimi zasobami informacji oraz zapewnić naszych klientów, partnerów biznesowych czy pracowników, że przetwarzane przez nas informacje są zabezpieczone i przechowywane w odpowiedni, bezpieczny sposób.

Etapy wdrożenia systemu - krok po kroku

O pomoc przy wdrożeniu całego systemu poprosiliśmy jedna z krakowskich firm, Instytut Kształcenia Manadżerów Jakości. Dzięki nim, pierwsze tygodnie z zaznajomieniem się z całą normą i dokumentacją nie były takie straszne, a w całym procesie mogliśmy wyróżnić 4 główne fazy:

  1. Wprowadzenie
  2. Wdrożenie
  3. Certyfikacja
  4. Utrzymanie

Pierwszym etapem naszej współpracy było szkolenie pracowników oraz zarządu, którzy będą trzymać pieczę nad wdrożeniem, certyfikacją i utrzymaniem systemu. Kolejnym etapem było samo przygotowanie i wprowadzenie dokumentacji w życie. To najbardziej czasochłonny etap, w którym musieliśmy przygotować wszystkie materiały źródłowe, pliki oraz inne najpotrzebniejsze dokumenty. Następnie przeszliśmy przez 2 audyty wewnętrzne. Pierwszy był wykonany przez osobę, która pomagała nam podczas tego całego procesu wdrażania systemu, dzięki czemu stres był mniejszy, a przy każdej wykrytej nieprawidłowości, mogliśmy liczyć na wytłumaczenie, skoordynowanie i poprawę błędu w czasie rzeczywistym. Kolejny audyt był przeprowadzony przez doświadczonego audytora, który zawodowo pracuje dla jednostki certyfikacyjnej. Tym razem audyt przebiegł w oficjalnej atmosferze oraz otrzymaliśmy raport z jego przebiegu. Oczywiście mieliśmy wystarczająco czasu na wdrożenie zmian przed głównym audytem certyfikującym, oraz cały czas mogliśmy liczyć na pomoc ze strony IKMJ.

Wtedy też nadszedł czas na przystąpienie do głównego, certyfikującego audytu. My skorzystaliśmy z usług jednostki certyfikującej mającej siedzibę w Czechach, a dokładniej LL-C (Certification) Czech Republic a.s. (oczywiście zalecamy korzystanie z usług tylko certyfikowanych dostawców). Sam audyt był rozpisany na dwa dni. Jeden to zapoznanie się audytora z całą dokumentacja, którą musieliśmy dostarczyć w odpowiednim czasie, zaś drugi przeaudytowanie naszej organizacji już na miejscu, w biurze. Uzyskaliśmy certyfikat już po pierwszym podejściu, a kilka dni po samym wydarzeniu otrzymaliśmy raport z przebiegu audytu wraz z informacją o obszarach do poprawy i naszych mocnych stronach.

Certyfikat wydawany jest na 3 lata, aczkolwiek sama norma wymaga, by co najmniej raz w roku przystąpić do audytu nadzorującego. Dlatego tez w kolejnych latach przystępowaliśmy do każdego z nich, zaś cały proces przebiegał podobnie do pierwszego, głównego audytu certyfikującego.

Etapy wdrożenia ISOIEC 27001

Ile to wszytsko kosztuje?

W naszej organizacji piecze nad Systemem Zarządzania Bezpieczeństwem Informacji trzyma:

  • Office Manager,
  • HR Generalist,
  • oraz CFO.

Dla relatywnie małej firmy, ponieważ GGS IT Consulting tworzy ok. 50 osób, wybór osób zajmujących się ISO/IEC 27001 okazał się kluczowym zadaniem. Uznaliśmy, że wytypowanie osób na tych stanowiskach będzie dla nas najlepszym rozwiązaniem, ponieważ każdy z nich zahacza o inny dział firmy, a razem stworzą idealny zespół. Koszt przystąpienia do samego audytu jest różny, ponieważ wszystko zależy od ilości pracowników, typów umów na jakich są zatrudnieni, specyfiki działalności, otoczenia rynkowego, regulacji prawnych w kraju oraz kilku innych czynników. Dla przykładu w naszym przypadku to kwoty od 4 do 7 tysięcy złotych (tutaj tez są różne kwoty w przypadku audytu nadzoru i audytu certyfikującego czy recertyfikującego).

Dlaczego system jest nam potrzebny? - Korzyści z certyfikacji systemu ISO/IEC 27001

Najważniejszym, niepodważalnym benefitem wynikającym z wdrożenia i utrzymania ISO/IEC 27001 jest oczywiście bezpieczeństwo danych, które stanowią podstawę każdej organizacji. Nie ma co ukrywać, że naszym głównym interesem jest zapewnianie jak najwyższego poziomu bezpieczeństwa dla wszystkich przetwarzanych aktywów. Dlatego też posiadanie certyfikatu poprawia naszą reputację i stanowi wartość dodaną podczas nawiązywania relacji biznesowych. Warto tutaj także dodać, że sama norma zapewnia zgodność z regulacjami prawnymi, np. RODO czy rozporządzenie KRI. Dzięki systemowi nasza firma regularnie identyfikuje i zarządza bieżącymi oraz przyszłymi zagrożeniami, a co za tym idzie minimalizuje wpływ potencjalnych incydentów.

Korzysci ISO

Ten certyfikat będzie idealny dla Twojej firmy jeżeli:

✔️ Zależy Ci na bezpieczeństwie informacji w firmie i chcesz zadbać o nie w najlepszy sposób

✔️ Potencjalni klienci wymagają posiadania certyfikatu

✔️ Chcesz zapewniać swoich aktualnych klientów, że Twoja organizacja ma ustrukturyzowany system ochrony danych i bezpieczeństwa informacji

✔️ Zależy ci na nieustannym doskonaleniu systemu i dobrym wizerunku firmy

GGS IT Consulting oczywiście nie planuje poprzestać tylko na wdrożeniu, certyfikacji i utrzymaniu systemu. Jesteśmy pewni, że certyfikat ISO/IEC 27001 to tylko początek, a my jako organizacja bedziemy starać się o kolejne certyfikaty, tak aby dalej rozwijać się w sferze bezpieczeństwa informacji, osiągać wysoki standard zarządzania danymi oraz zapewniać należytą jakość oferowanych usług dla naszych klientów.