Jak norma ISO 27001 wzmacnia bezpieczeństwo fizyczne
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/ISO/IEC 27001 a bezpieczeństwo fizyczne

ISO 27001 a bezpieczeństwo fizyczne

Hasło „bezpieczeństwo informacji” kojarzy się z bezpieczeństwem cybernetycznym. Tymczasem norma ISO/IEC 27001 dotyczy też bezpieczeństwa fizycznego.

 

Jest to jeden z 4 obszarów zabezpieczeń, opisanych w załączniku A nowej normy ISO/IEC 27001:2022. Jego celem jest nadzorowanie dostępu do określonych miejsc bez uprawnień.

 

Pandemia spowodowała, że większość organizacji zaczęła pracować zdalnie. Pojawiły się nowe wyzwania związane z zapewnieniem bezpieczeństwa fizycznego. Organizacje, które pracują hybrydowo powinny przyjrzeć się swoim zasadom i procedurom dla odwiedzających: w jaki sposób przetwarzają informacje o odwiedzających osobach, jak dbają o to, by goście udali się bezpośrednio do wyznaczonych miejsc itp.

 

Inną kwestią jest fizyczna kontrola dostępu. Organizacje powinny wdrażać nie tylko cyfrowe kontrole dostępu (jak hasła, uwierzytelnianie wieloskładnikowe, zapory ogniowe i segmentację sieci), ale też zabezpieczenia fizyczne. Tu sprawdzić się może po prostu zamek na klucz, zamek szyfrowany pin kodem, czytnik kart lub biometryczna kontrola dostępu.

 

Monitoring

Monitorowanie bezpieczeństwa fizycznego ma na celu ograniczenie dostępu do określonych miejsc bez uprawnień. Taka kontrola może odbywać się przez telewizję przemysłową lub z pomocą ochroniarza, znajdującego się w pobliżu wejścia lub obsługującego panel systemu monitoringu.

 

Zakładając, że przedsiębiorstwo posiada dużo sprzętu i znajduje się w obszarze o wysokim wskaźniku przestępczości, zorganizowanie środków kontroli jest rozsądnym posunięciem. W takiej sytuacji zarówno telewizja przemysłowa, jak i system monitorowania bezpieczeństwa pełnią funkcje zapobiegawczą. Pomogą odstraszyć potencjalnych włamywaczy i pomóc w zidentyfikowaniu sprawców.

 

Zagrożenia i wady związane z CCTV

Wadą kamer jest to, że można je łatwo zasłonić lub zepsuć. Dodatkowo sam materiał filmowy może ulec uszkodzeniu. Nagrania mogą zostać nadpisane i są przechowywane przez określony czas.

 

Należy też pamiętać o obowiązkach organizacji w zakresie prywatności. Osoby nagrywane powinny wiedzieć o tym fakcie i mieć świadomość jakie dane na ich temat są w ten sposób zbierane.

 

Fizyczna kontrola dostępu

Nie każdy pracownik organizacji powinien mieć dostęp wszędzie. Do pomieszczenia, w którym przechowywane są poufne informacje lub sprzęt, dostęp powinien być ograniczony, dozwolony tylko dla osób, które muszą z nich skorzystać. Powinna obowiązywać zasada tzw. „logicznego dostępu”, bazująca na niezbędnej wiedzy.

 

Możesz na przykład umieścić swój zespół HR w jednej części budynku, aby przechowywać wrażliwe dane osobowe personelu oddzielnie od zespołu sprzedaży. Z podobnych powodów warto również oddzielić finanse. Upewnij się, że ograniczasz go w oparciu o zasadę niezbędnej wiedzy.

 

To, czego nie chcesz robić, to mieszać zespoły. Kiedy wszyscy pracownicy finansowi siedzą razem, nie ma znaczenia, czy jedna osoba patrzy na ekran drugiej i widzi poufne dane finansowe. Nie da się jednak powstrzymać przypadkowych spojrzeń, sprzedawcy siedzącego obok personelu finansowego.

 

Powtórzmy raz jeszcze: nawet zweryfikowani pracownicy nie powinni widzieć informacji nieistotnych dla ich pracy – zwłaszcza jeśli są to informacje wrażliwe.

 

Nawet jeśli jesteś małą organizacją i zatrudniasz niewielu pracowników, powinieneś wyznaczyć bezpieczną przestrzeń do pracy z wrażliwymi informacjami. Możesz też ustawić ekrany w taki sposób, aby nie było widać, nad czym dana osoba pracuje, jeśli ktoś wejdzie do biura. Dobrym rozwiązaniem może być także zastosowanie filtrów prywatyzujących na monitor.

 

Wiele organizacji z jednym budynku

Obecnie jest dość powszechne, że wiele różnych organizacji mieści swoje biura w tym samym budynku. To normalne, że biuro znajduje się na dziesiątym piętrze, a personel otrzymuje kartę dostępu, która umożliwia mu dostęp tylko do tego piętra i do drzwi wejściowych budynku. Lub jeśli masz gościa, zadzwonią do Ciebie z głównej recepcji, która następnie skieruje ich na właściwe piętro i poinformuje Cię, żebyś ich wpuścił.

 

Zdalny audyt bezpieczeństwa fizycznego

Przeprowadzenie wewnętrznego audytu bezpieczeństwa fizycznego zdalnie jest możliwe dzięki wykorzystaniu nowoczesnych technologii. Osoba poddawana audytowi może użyć telefonu z kamerą lub laptopa, aby w czasie rzeczywistym przekazywać obraz audytorowi. Podczas audytu osoba ta będzie opisywać, gdzie się znajduje, jakimi trasami się porusza i jakie czynności wykonuje.

 

Wykorzystanie kamer wideo do przeprowadzenia zdalnego audytu może być również skutecznym rozwiązaniem w przypadku, gdy dostęp do obiektu jest ograniczony lub gdy organizacja zarządza wieloma lokalizacjami.

 

Bezpieczeństwo fizyczne a praca zdalna na home office

Aby zwiększyć poziom bezpieczeństwa w przypadku osób pracujących zdalnie z domu na dobry początek warto wprowadzić politykę pracy zdalnej. Powinna ona uwzględniać wytyczne, jak fizycznie zabezpieczyć sprzęt firmowy. Np.

  • Unikaj pracy w miejscach publicznych.
  • Zawsze korzystaj z zaufanych, bezpiecznych połączeń Wi-Fi. Unikaj otwartych sieci w miejscach publicznych lub używaj VPN do szyfrowania ruchu sieciowego.
  • Nigdy nie pozostawiaj sprzętu bez nadzoru w miejscach publicznych.
  • Upewnij się, że ekran laptopa jest zablokowany, gdy urządzenie nie jest używane, nawet na krótki czas.
  • Podróżując samolotem, umieść laptopy itp. w bagażu podręcznym.
  • Nie pozwalaj także osobom nieupoważnionym korzystać z urządzenia.
  • Ustaw silne, unikalne hasła dla wszystkich kont i urządzeń oraz regularnie je aktualizuj.
  • Szyfruj dysk twardy laptopa, aby zabezpieczyć dane w przypadku kradzieży lub zgubienia urządzenia.
  • Upewnij się, że oprogramowanie antywirusowe i zapora sieciowa są aktywne i regularnie aktualizowane.
  • Zapewnij pracownikom jasne instrukcje postępowania w przypadku zgubienia lub kradzieży sprzętu, w tym informacje o tym, jak i gdzie zgłosić incydent.

 

Korzystanie z rozwiązań chmurowych

Obecnie firmy coraz częściej korzystają z rozwiązań chmurowych. Własne serwery i serwerownie stają się rzadziej wykorzystywane. Korzystanie z usług dostawcy chmury oznacza współdzielenie ryzyka. Twoje dane mogą być zarządzane i zabezpieczane przez dostawcę, ale z prawnego punktu widzenia to Ty pozostajesz za nie odpowiedzialny.

 

Dlatego ważne jest, aby przed wyborem dostawcy dokładnie zrozumieć warunki umowy, w tym zasady dotyczące bezpieczeństwa i prywatności danych. Zaleca się również regularne przeprowadzanie audytów bezpieczeństwa, aby upewnić się, że procedury ochrony danych są przestrzegane i dostosowywane do zmieniających się regulacji.

 

Zgodnie z normą ISO 27001:2022 zarządzanie dostawcami obejmuje wiele elementów kontrolnych:

 

  • 5.19: Bezpieczeństwo informacji w relacjach z dostawcami.
  • 5.20: Kwestia bezpieczeństwa informacji w umowach z dostawcami.
  • 5.21: Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT.
  • 5.22: Monitorowanie, przegląd i zarządzanie zmianami w usługach dostawców.
  • 5.23: Bezpieczeństwo informacji przy korzystaniu z usług w chmurze [kolejna nowa kontrola].

 

To podkreśla jego znaczenie dla ogólnego bezpieczeństwa informacji. Jeśli Twój łańcuch dostaw nie jest bezpieczny, to Ty również nie jesteś bezpieczny.

 

Chcesz poznać więcej szczegółów dotyczących normy ISO/IEC 27001? Sprawdź, kiedy organizujemy najbliższe szkolenia.

Skontaktuj się z nami

„Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informujemy, iż Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa.  Państwa dane osobowe przetwarzane będą w celach kontaktowych niezbędnych do realizacji usługi, zgodnie z obowiązującymi przepisami prawa na podstawie art. 6 ust. 1 lit. f RODO.„

>>Wyrażam zgodę na przetwarzanie moich danych osobowych przez ISOQAR CEE sp. z o.o jako administratora danych osobowych, w celach otrzymywania informacji handlowych i marketingowych wysyłanych na podany adres e-mail na podstawie art. 6 ust. 1 lit. a RODO. Więcej informacji w Polityka prywatności

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Klauzula informacyjna newsletter

Polityka prywatności

Klauzula informacyjna w zakresie przetwarzania danych osobowych na potrzeby newsletter

W związku z obowiązywaniem od dnia 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, str. 1), zwanego dalej „rozporządzeniem RODO”, informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

  2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

  3. Pani/Pana dane osobowe będą przetwarzane w celach wysyłki i otrzymywania newslettera.

  4. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie wyrażonej przez Panią/Pana zgody (podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO

  5. Pani/Pana dane osobowe będą przetwarzane do czasu cofnięcia przez Panią/Pana zgody. 

  6. Odbiorcą Pani/Pana danych osobowych będą podmioty, którym Administrator zleca wykonywanie czynności, z którymi wiąże konieczność przetwarzania danych (podmioty przetwarzające) oraz podmioty publiczne na podstawie odrębnych przepisów prawa. 

  7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu prawo dostępu do treści danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. 

  8. Ma Pani/Pan prawo do cofnięcia zgody na przetwarzanie Pani/Pana danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  9. W przypadku uznania, że przetwarzanie przez Administratora Pani/Pana danych osobowych narusza przepisy Rozporządzenia ma Pani/Pan prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). 

  10. Podanie przez Panią/Pana danych osobowych jest dobrowolne, jednak jest warunkiem wysyłki newslettera.

  11. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany, nie będą poddawane profilowaniu.

  12. Pani/Pana dane osobowe mogą być przekazywane do państwa trzeciego (UK).

Klauzula informacyjna zapytanie ofertowe

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:

1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną:  iod@isoqar.pl

3. Pani/Pana dane osobowe przetwarzane będą w celu:

•             odpowiedzi na zapytanie ofertowe na podstawie art. 6 ust. 1 lit. f RODO

więcej informacji pod linkiem

•             kontaktu w celu przekazania informacji marketingowych i handlowych na podstawie art. 6 ust. 1 lit. a RODO

•             w celu realizacji prawnie uzasadnionego interesu Spółki, polegającego na ewentualnym ustaleniu lub dochodzeniu roszczeń lub obronie przed roszczeniami, na podstawie prawnie uzasadnionego interesu Spółki (art. 6 ust. 1 lit. f RODO).

4. Odbiorcą Pani/Pana danych osobowych będą wspólnicy i pracownicy Administratora w zakresie swoich obowiązków służbowych na podstawie upoważnienia.

5. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego ani organizacji międzynarodowej;

6. Pani/Pana dane osobowe będą przechowywane do czasu zakończenia współpracy lub do czasu cofnięcia przez Pani/Pana zgody.

7. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do przenoszenia danych.

8. Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego- Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;

9. Podanie przez Pana/Panią danych osobowych jest dobrowolne, jednak konieczne w celu realizacji przedmiotu umowy/ jest konieczne w związku z przepisami szczególnymi ustawy (przetwarzanie danych osobowych jest wymogiem ustawowym). W przypadku niewyrażenia zgody na przetwarzanie danych osobowy, Administrator może zrezygnować z zawarcia umowy.

10. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania tzn. żadne decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływające nie będą oparte wyłącznie na automatycznym przetwarzaniu danych osobowych i nie wiążą się z taką automatycznie podejmowaną decyzją.