Bez względu na strukturę organizacyjną, czy reprezentujesz małą firmą z ograniczonymi zasobami, czy międzynarodową korporację, uzyskanie certyfikatu ISO/IEC 27001 jest wyzwaniem.
Zanim dojdziesz do etapu audytów wewnętrznych i certyfikacyjnych, trzeba przejść kilka innych kroków. Musisz zebrać zespół, przeprowadzić analizę luk i ocenę ryzyka, zastosować środki bezpieczeństwa, stworzyć dokumentację i przeprowadzić szkolenie uświadamiające pracowników.
Po uzyskaniu certyfikacji ISO/IEC 27001, powinieneś dbać o zachowanie zgodności działań z normą, regularnie przechodzić przez audity przeglądowe oraz co 3 lata odnawiać certyfikację ISMS. Warto pamiętać, że na certyfikacie wskazane są daty jego wydania oraz wygaśnięcia.
Organizacje mogą zapewnić zgodność swoich działań z normą ISO/IEC 27001, wykonując te siedem kroków.
1. Nieustannie testuj i analizuj ryzyko
ISMS (System Zarządzania Bezpieczeństwem Informacji) został zbudowany w celu przeciwdziałania zagrożeniom zidentyfikowanym podczas procesu wdrożenia i certyfikacji, ale katalog zagrożeń stale ewoluuje.
W związku z tym należy regularnie monitorować zagrożenia, na które organizacja jest narażona, aby zapewnić odpowiednią ochronę. Składową częścią tego procesu jest regularne skanowanie luk w zabezpieczeniach. Istotne również są inne narzędzia, które mogą automatycznie wykrywać nowe zagrożenia np. bardzo rygorystyczne testy.
Aby zachować zgodność z normą, organizacja powinna przeprowadzić ocenę ryzyka w ramach systemu ISO/IEC 27001 co najmniej raz w roku lub za każdym razem, gdy wprowadza istotne zmiany w swojej działalności. Wyniki oceny można wykorzystać do ustalenia, czy kontrole działają zgodnie z przeznaczeniem i czy należy zastosować dodatkowe zabezpieczenia.
2. Aktualizuj dokumentację
Polityki i procesy, które zostały spisane podczas wdrożenia, zostały stworzone specjalnie z myślą o tym, jak działała organizacja w tamtym czasie. Jednak w miarę ewoluowania działalności firmy, dokumentacja powinna być aktualizowana i uwzględniać zmiany.
Czy w ostatnim czasie zaszły znaczące zmiany w sposobie wykonywania pewnych czynności? Czy zostały podjęte nowe działania związane z danymi wrażliwymi? Czy pomieszczenia fizyczne zostały przeorganizowane w jakikolwiek sposób?
Jeśli odpowiedź na którekolwiek z tych pytań brzmi „tak”, to dokumentacja organizacji powinna zostać odpowiednio zmieniona.
3. Przeprowadzaj audyty wewnętrzne
Audyt wewnętrzny zapewnia kompleksowy przegląd skuteczności funkcjonującego SZBI. Oprócz oceny ryzyka i przeglądu dokumentacji audyt wewnętrzny pomoże ocenić zgodności systemu z wymaganiami normy ISO/IEC 27001.
Przeprowadzając audyt wewnętrzny można powtórzyć ten sam schemat utrzymania zgodności, który był zastosowany podczas wstępnego procesu certyfikacji.
4. Informuj kierownictwo wyższego szczebla
Powyżej opisane praktyki ujawnią słabości, które należy wyeliminować, chcąc zachować zgodność działań z wymaganiami standardu.
Naprawa tych luk wymaga czasu i zasobów, a w tym celu konieczne jest uzyskanie zgody na poziomie zarządu. W związku z tym w interesie organizacji leży informowanie kierownictwa wyższego szczebla na bieżąco zarówno o swoich działaniach związanych z utrzymaniem SZBI, jak i o korzyściach, jakie przyniosły.
Na przykład jeśli mechanizmy obronne, które zostały zastosowane, odegrały bezpośrednią rolę w zapobieżeniu naruszenia danych lub cyberatakowi, to powinny być one zarejestrowane. Natomiast owe zdarzenie dokładnie zbadane, by dowieść skuteczności SZBI, a następnie przedstawione zarządowi.
ISMS to jednak nie tylko zapobieganie naruszeniom bezpieczeństwa. Pomaga także organizacjom działać wydajniej i bardziej odpowiedzialnie. Jeśli są na to dowody, to je również należy przedstawić najwyższemu kierownictwu uwzględniając kluczowe wskaźniki wydajności oraz wywiady z pracownikami i pozostałymi interesariuszami.
5. Ustanowienie procesu regularnego przeglądu zarządzania
Oprócz informowania zarządu o sukcesach Systemu Zarządzania Bezpieczeństwem Informacji, powinieneś także zaangażować członków zarządu w proces przeglądu. Tutaj możesz omówić możliwości ulepszeń lub niezbędnych zmian, które należy wprowadzić.
Nie istnieje konkretny wymóg dotyczący częstotliwości przeglądów zarządzania, jednak powinny one odbywać się przynajmniej raz w roku.
6. Bądź na bieżąco z działaniami naprawczymi
Stworzony System Zarządzania Bezpieczeństwem Informacji nie powinien funkcjonować w tej samej formie przez cały czas. Powinien on ewoluować, zmieniać się, aby sprostać zagrożeniom, przed którymi stoi Twoja organizacja.
Regularnie monitorując skuteczność SZBI, powinieneś być w stanie przeprowadzić działania naprawcze, które zapobiegną przekształceniu się słabych stron w poważne problemy. Niektóre z tych zmian mogą polegać na drobnych poprawkach procesów i zasad lub dodaniu nowego narzędzia.
Jednak niektóre działania naprawcze będą wymagały znacznego przeglądu praktyk. Powinny one zostać omówione podczas procesu przeglądu zarządzania i obejmować bieżące korekty oraz działania monitorujące.
7. Promuj stałą świadomość personelu ds. bezpieczeństwa informacji
Jedną z kluczowych zasad ISO/IEC 27001 jest to, że każda osoba w organizacji jest odpowiedzialna za skuteczność systemu bezpieczeństwa informacji. Zgodności z systemem nie należy pozostawiać wyłącznie działowi IT ani kierownikom.
Każda osoba w organizacji, która pracuje z danymi wrażliwymi, powinna znać i rozumieć swoje obowiązki w zakresie ochrony poufnych informacji.
Najwyższe kierownictwo jest zobowiązane do zapewnienia pracownikom szkolenia uświadamiającego w ramach procesu certyfikacji, jak również regularnego przeszkalania w tym zakresie. Podobnie jak w przypadku przeglądu zarządzania, szkolenia takie powinny odbywać się co najmniej raz w roku, a najlepiej dwa razy w roku.
Jeśli szukasz skutecznego sposobu spełnienia tych wymagań, to skorzystaj z naszych szkoleń otwartych lub poproś o ofertę na dopasowane do Twoich potrzeb szkolenie zamknięte.
Szczególnej uwadze polecamy Szkolenie z wymagań normy ISO/IEC 27001 lub szkolenie Przejście na normę ISO/IEC 27001:2022.