ISO/IEC 27001:2013

System Zarządzania Bezpieczeństwem Informacji - ISMS (Information Security Managenet System) powstał z myślą o skutecznej i kompleksowej ochronie zasobów informacyjnych przed rozmaitymi zagrożeniami w każdej organizacji. W listopadzie 2013 roku została opublikowana kolejna wersja normy ISO/IEC 27001:2013.


Norma ISO/IEC 27001:2013 System Zarządzania Bezpieczeństwem Informacji definiuje jako "część ogólnego systemu zarządzania, która bazuje na biznesowym podejściu do ryzyka, w celu ustanowienia, wdrożenia, działania, monitorowania, przeglądania, utrzymywania i doskonalenia bezpieczeństwa informacji". System zbudowany jest w oparciu o 3 główne założenia:

  • Poufność - zapewnienie, iż informacja jest dostępna wyłącznie dla osób uprawnionych, posiadających odpowiednie prawa dostępu.
  • Integralność - śledzenie procesu przetwarzania informacji we wszystkich formach występowania, po to aby uniemożliwić nieautoryzowaną modyfikację czy też wyeliminować niepoprawną metodę przetwarzania.
  • Dostępność - zapewnienie, iż informacja jest dostępna dla osoby uprawnionej zawsze gdy tego potrzebuje.

Zakres stosowania

Norma ISO/IEC 27001:2013 jest odpowiednia dla wszystkich przedsiębiorców bez względu na charakter ich działalności i zawiera wymagania, których spełnienie stanowi podstawę przyznania Certyfikatu ISO/IEC 27001.
Ofertę zaprojektowania i wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego w wymaganiami normy ISO/IEC 27001:2013 kierujemy do wszystkich organizacji, które chcą mieć gwarancję zachowania poufności i dostępności wszystkich posiadanych informacji.

Korzyści z posiadania Sytemu Zarządzania Bezpieczeństwem Informacji:

  • gwarancja dla kontrahentów i klientów właściwej ochrony wszystkich informacji;
  • zredukowanie poziomu ryzyka związanego z utratą kontroli nad bezpieczeństwem informacji;
  • zwiększona konkurencyjność na rynku;
  • ułatwiony nadzór i zapewnia bezpieczeństwo informacji;
  • zapewnienie, że spełnione są wymogi prawne, do których przestrzegania zobowiązana jest organizacja;
  • zwiększone zaufanie klientów, przez podniesienie wiarygodności;
  • zminimalizowane ryzyko utraty lub przejęcia danych;
  • lepsza ochrona majątku i interesów organizacji;
  • szybka identyfikacja błędów i niezgodności z wymaganiami normy;
  • niezależne zapewnienie o spełnieniu wymagań prawnych,
  • niezależna weryfikacja i ocena ryzyka oraz zarządzanie ryzykiem w organizacji, zwiększenie konkurencyjności, poprzez zapewnienie Klientów/rynku o wadze i celowości realizowanych zadań z zakresu bezpieczeństwa informacji,
  • gwarancja ciągłości działań,
  • możliwość integrowania z innymi systemami (np. ISO 9001, ISO 14001).
     

Etapy wdrażania Systemu Bezpieczeństwa Informacji ISO/IEC 27001:2005:

Proponujemy skorzystanie ze sprawdzonej procedury wdrażania Systemu Zarządzania Jakością ISO 9001:2008, obejmującej kolejne działania:

1. Określenie zakresu i granic SZBI.
2. Określenie polityki SZBI.
3. Określenie podejścia do szacowania ryzyka.
4. Określenie ryzyka.
5. Analiza i ocena ryzyka.
6. Identyfikacja i ocena wariantów postępowania z ryzykiem.
7. Wybranie zabezpieczeń.
8. Akceptacja ryzyka szczątkowego.
9. Uzyskanie autoryzacji dla wdrożenia systemu.
10. Opracowanie deklaracji stosowania.
11. Opracowanie planu postępowania z ryzykiem.
12. Wdrożenie planu postępowania z ryzykiem.
13. Wdrożenie zabezpieczeń.
14. Określenie sposobów mierzenia skuteczności zabezpieczeń.
15. Szkolenie pracowników i współpracowników.
16. Weryfikacja wdrożenia systemu poprzez audit wewnętrzny.
17. Zgłoszenie do jednostki certyfikującej.
18. Udział konsultanta w audicie certfikującym.

Zapraszamy do skorzystania z naszych doświadczeń przy przygotowaniu do certyfikacji na zgodność z normą ISO/IEC 27001:2013.