Norma ISO 27001 – co to jest? Jak ją wdrożyć? | Biznes Netia
Menu główne

Norma ISO 27001 – jakie są korzyści z jej wdrożenia?

26 czerwca 2024, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

ISO/IEC 27001 to norma wyznaczająca standardy dla systemów bezpieczeństwa informacji, która od samego początku istnienia, czyli roku 2005, jest jednym z najbardziej pożądanych certyfikatów dla firm. Uwzględnianie jej wytycznych świadczy o dojrzałości organizacji i świadomości zagrożeń. Z uwagi na fakt, że znaleźliśmy się właśnie w momencie kolejnej aktualizacji normy ISO 27001, przyjrzyjmy się konkretnym korzyściom wynikającym z wdrożenia tego standardu.

 
 
 
   

Norma ISO 27001 – co to jest i jakie są jej cele?

 

ISO/IEC 27001 to ciesząca się największą renomą norma dotycząca obszaru cyberbezpieczeństwa i systemu zarządzania bezpieczeństwem informacji (SZBI). Swoją popularność zawdzięcza holistycznemu podejściu oraz możliwości dostosowania do różnych typów organizacji. Wiele systemów prawnych stawia części sektorów przemysłowych wymagania zgodności z tą właśnie normą. Porusza ona takie kwestie, jak organizacja, wdrażanie i utrzymanie dobrych praktyk w zakresie zarządzania bezpieczeństwem informacji. Według badania ISO Survey 2022, w roku 2022na całym świecie (w 150 krajach) wdrożonych było ponad 70 tys. certyfikatów zgodności z ISO 27001.

 

Firma lub organizacja przetwarzająca dane i korzystająca z technologii informatycznych może zdobyć w drodze audytu certyfikat ISO/IEC 27001. W ten sposób daje jasny sygnał swoim klientom, akcjonariuszom czy partnerom biznesowym, że jest świadoma zagrożeń oraz stosuje najlepsze praktyki w obszarze przetwarzania informacji i organizacji systemów bezpieczeństwa.

 

Główne cele ISO 27001 to:

 
  • potwierdzenie wdrożenia odpowiednich kontroli bezpieczeństwa, które dotyczą procesów ochrony poufności, integralności oraz dostępności informacji (a więc tzw. triady CIA – wyznacznika właściwego kierunku rozwoju systemów cyberbezpieczeństwa),

  • identyfikacja zagrożeń i właściwe zarządzanie ryzykiem (dzięki czemu organizacja może rozpoznać zagrożenia i skutecznie im przeciwdziałać).
 

Wdrażanie normy ISO 27001 polega na przygotowaniu zgodnej z założeniami normy infrastruktury, dokumentacji i procedur bezpieczeństwa. Jest to pracochłonny proces, który może trwać wiele miesięcy. Na tym etapie firma dopracowuje także swój system zarządzania ryzykiem i inne niezbędne elementy systemów bezpieczeństwa. Sprawdza, mierzy i monitoruje parametry bezpieczeństwa, testując wykorzystane rozwiązania. To także czas, w którym wszyscy pracownicy organizacji muszą zostać szczegółowo przeszkoleni z nowych zasad, które będą oficjalnie obowiązywać. Firmy nierzadko wspierają się na tym etapie pomocą zewnętrznych specjalistów, którzy mogą pomóc w sprawdzeniu zgodności z normą i zasugerowaniu koniecznych zmian.

 

Właściwa certyfikacja jest już etapem końcowym, w którym akredytowana jednostka decyduje o tym, czy organizacja może otrzymać certyfikat zgodności z normą ISO/IEC 27001. W trakcie audytu sprawdzana jest zarówno dokumentacja firmy, jak i działanie systemów zarządzania bezpieczeństwem informacji w praktyce.

 

Czy ISO 27001 i ISO/IEC 27001 to ten sam certyfikat?

 

Nazywanie omawianej dziś normy mianem „ISO 27001” jest pewnym uproszczeniem. Standard został opracowany we współpracy dwóch organizacji: ISO (International Organization for Standarization) oraz IEC (International Electrotechnical Commission) i ogłoszony po raz pierwszy 14 października 2005 roku. Od tamtego czasu norma była kilkukrotnie aktualizowana, a najnowszą jej wersją jest ISO/IEC 27001:2022.

 

Można więc śmiało stwierdzić, że ISO 27001 oraz ISO/IEC 27001 to dokładnie ten sam standard, jednak chcąc zachować pełną poprawność, powinniśmy wykorzystywać tę drugą nazwę.

 

Certyfikat ISO 27001 – czy ma okres ważności?

 

Po poprawnym opracowaniu i wdrożeniu systemów zarządzania bezpieczeństwem informacji oraz potwierdzeniu tego w drodze audytu bezpieczeństwa informacji firma zyskuje certyfikat zgodności, który jest ważny przez 3 lata. Warunkiem jest jednak przeprowadzanie raz w roku audytów okresowych. To właśnie mechanizm wymuszający ciągłe utrzymywanie zgodności z normą stanowi o jej wysokiej wartości i jest największym wyzwaniem dla organizacji działającej zgodnie z tym standardem.

 

Firmy zainteresowane certyfikacją ISO 27001 powinny zdawać sobie sprawę, że znajdujemy się obecnie w okresie przejściowym pomiędzy wciąż obowiązującą wersją normy z 2013 roku oraz zaktualizowaną w 2022 roku normą ISO/IEC 27001:2022. Zmiany dotyczą głównie nowej struktury kontroli zabezpieczeń. Zamiast dotychczasowych 13 grup zabezpieczeń pojawiają się 4 grupy: zabezpieczenia organizacyjne, osobowe, fizyczne i technologiczne. Zmiany były konieczne z uwagi na rozwój technologii i nowe trendy w IT, które pojawiły się w ciągu 9 lat od ogłoszenia ostatniej aktualnej wersji, czyli ISO 27001:2013. Mowa tu między innymi o bezpieczeństwie korzystania z usług w chmurze, ustandaryzowaniu zabezpieczeń i praktyk dla pracy zdalnej, czy też o nowych metodach uwierzytelniania.

 

Nowa wersja standardu zacznie oficjalnie obowiązywać od 31 października 2025 roku. W tym dniu wygasną także certyfikaty wydane zgodnie z założeniami ISO 27001:2013. Oznacza to konieczność przeprowadzenia do tego momentu procesu ponownej certyfikacji oraz wdrożenia zmian w systemach z odpowiednim wyprzedzeniem. Nowa wersja normy wprowadza 11 nowych mechanizmów kontrolnych, a istniejące do tej pory mechanizmy kondensuje, zmniejszając ich liczbę. Ostatecznie w nowej odsłonie standardu spadnie liczba zabezpieczeń ze 114 do 93. Zmniejszy się (z 14 do 4) także liczba tzw. zestawów zabezpieczeń (obowiązywać będzie podział na zabezpieczenia fizyczne, technologiczne, organizacyjne i ludzkie).

 

Czy warto wdrożyć normę ISO 27001 w firmie?

 

Norma ISO 27001 to wymagający, ale przynoszący duże korzyści z wdrożenia standard bezpieczeństwa dla firm i organizacji. Daje firmie ramy wyznaczające zakres i kierunek podczas planowania, wdrażania i utrzymania systemów bezpieczeństwa.

 

Dzięki zastosowaniu ISO 27001 organizacja może lepiej zrozumieć czyhające na nią zagrożenia oraz skutecznie zmniejszać ryzyko wycieków danych czy wystąpienia skutecznych ataków hakerskich różnego rodzaju. Pozwala także opracować odpowiednie polityki i instrukcje postępowania po incydencie bezpieczeństwa. Proces certyfikacji angażuje całą firmę i uwrażliwia pracowników na możliwe zagrożenia, co również nie pozostaje bez znaczenia (szczególnie jeśli równocześnie przeprowadzimy szkolenia z zakresu tzw. security awareness).

 

Bardzo ważną korzyścią wynikającą z posiadanego certyfikatu ISO 27001 jest to, jak firmę widzą jej klienci, partnerzy i inne organizacje. Otrzymanie certyfikatu nie jest łatwe, a jeszcze trudniejsze jest utrzymanie systemu bezpieczeństwa informacji w formie, którą potwierdza posiadany certyfikat. Nakład pracy i środków finansowych poświęconych na ten cel świadczy o wysokiej dojrzałości organizacji i zwiększa zaufanie, a to przekłada się pośrednio również na wyniki finansowe.

 

Chcesz zadbać o bezpieczeństwo swoich klientów i pracowników? Specjaliści Netii przeprowadzają szczegółowe audyty zgodności z obowiązującymi normami prawnymi (np. GDPR, NIS czy PCI DSS). Zweryfikuj, czy Twoja firma działa w zgodzie z prawem i nie naraża się na dotkliwe kary finansowe. Skorzystaj z profesjonalnych usług cyberbezpieczeństwa!

 

Poznaj konkretne narzędzia i rozwiązania Netii, które pomogą Twojej firmie spełnić wymagania stawiane przez zaktualizowany standard ISO/IEC 27001:2022. Netia Cloud Firewall zapewnia kompleksową ochronę przed różnego rodzaju zagrożeniami, a zarządzany UTM Netii umożliwia m.in. bezpieczną pracę zdalną. Dla najbardziej wymagających organizacji dedykujemy wsparcie naszego zespołu SOC – Security Operations Center, który zajmie się monitorowaniem bezpieczeństwa oraz reagowaniem na incydenty, wycieki i ataki.

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×