Top 10 najczęstszych niezgodności w ISO/IEC 27001
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/Top 10 najczęstszych niezgodności w ISO/IEC 27001

Top 10 najczęstszych niezgodności w ISO/IEC 27001

W ISOQAR, wraz z naszym zespołem auditorów zidentyfikowaliśmy TOP 10 najczęściej występujących niezgodności w systemach zarządzania ISO/IEC/IEC 27001 naszych klientów.

 

System zarządzania bezpieczeństwem informacji ISO/IEC 27001 (SZBI) gwałtownie zyskał na popularności w ciągu ostatnich kilku lat. Podstawowym czynnikiem napędzającym ten trend, są oczywiście obawy o bezpieczeństwo danych przechowywanych cyfrowo.

 

Jednak warto pamiętać, że jedynym zadaniem SZBI nie jest ochrona przed cyberatakami; system obejmuje wszystkie informacje w dowolnym formacie, w jakim są przechowywane. Poza kwestiami technicznymi, auditorzy muszą również wziąć pod uwagę podejście kierownictwa do budowania, wspierania i utrzymywania całego systemu.

 

Dlatego z listy wszelkich niezgodności, które są wykrywane w czasie auditów certyfikujących, wybraliśmy te, które się regularnie pojawiają oraz są stosunkowo łatwe do usunięcia.

 

1. Brak zaangażowania kierownictwa wyższego szczebla

Podobnie jak w przypadku wszystkich systemów zarządzania ISO, wszystko zaczyna się od góry przedsiębiorstwa. Jednym z kluczowych wymagań ISO/IEC 27001 jest żeby najwyższe kierownictwo było w stanie wykazać swoje zaangażowanie i wsparcie dla SZBI. Zbyt często auditorzy stwierdzają nie tylko brak zaangażowania, ale także brak świadomości funkcjonowania systemu ze strony najwyższego kierownictwa. Podczas gdy zadania techniczne związane z prowadzeniem SZBI mogą być delegowane, ogólna odpowiedzialność musi spoczywać na kierownictwie.

 

2. Niewystarczające kontrole dostawców zewnętrznych

Koniecznym jest, żeby upewnić się, że wszyscy zewnętrzni dostawcy, którzy mają dostęp do poufnych informacji, również przestrzegają odpowiednich mechanizmów kontroli bezpieczeństwa. Powinni oni pracować na co najmniej tak wysokim poziomie dbałości o bezpieczeństwo, jaki obowiązuje w Twojej organizacji. Musi być to również do udowodnienia w czasie auditu, poprzez wskazanie m.in. jaki jest proces kwalifikacji, zarządzania i monitorowania dostawców w zakresie bezpieczeństwa informacji.

 

3. Niewystarczające bezpieczeństwo fizyczne

ISO/IEC 27001 to nie tylko bezpieczeństwo cybernetyczne. Konieczne jest również wzięcie pod uwagę fizycznych zagrożenia bezpieczeństwa, takich jak nieautoryzowany dostęp do Twojej siedziby. Zbyt często firmy zapominają o prostych rzeczach, takich jak regularna zmiana kodów dostępu, sprzątanie biurek pod koniec dnia, zabezpieczanie hasłem poufnych dokumentów — nie zawiedź takich podstaw.

 

4. Brak regularnych testów bezpieczeństwa

Dobrze jest mieć plany działań przeciwdziałania zagrożeniom bezpieczeństwa. Pamiętaj jednak, żeby testować, czy są one skuteczne. Należy to robić regularnie, identyfikując obszary do poprawy i wdrażając odpowiednie zmiany. „Ciągłe doskonalenie” leży u podstaw wszystkich systemów zarządzania ISO/IEC. Wskazane jest również utworzenie harmonogramu nadzoru nad tymi planami działań, spisywanie dowodów z ich przeprowadzenia, by móc pokazać je auditorowi.

 

5. Brak utrzymania i aktualizacji planu ciągłości działania

Czasami pomimo planowania, testowania, pojawiają się okoliczności, na które organizacja nie mogła być przygotowana. Nie można przewidzieć każdej ewentualności. Organizacja powinna więc mieć plan, jak kontynuować działalność w przypadku takich zakłóceń. Nie mówimy tylko o powodziach, pożarach i katastrofalnych stratach danych, ale nawet o stosunkowo niewielkich trudnościach jak zwolnienia lekarskie kluczowych pracowników. Aby mieć pewność, że organizacja podejmuje wszelkie działania, aby zapobiegać eskalacji negatywnych zdarzeniach w otaczających ją środowisku, można rozważyć wdrożenie systemu zarządzania ciągłością działania ISO/IEC 22301.

 

6. Nieodpowiednie monitorowanie dostępu uprzywilejowanego

Dostęp do wrażliwych informacji i systemów powinien mieć wyłącznie upoważniony personel. Aktywność tych użytkowników powinna być ściśle monitorowana, aby zapobiec nieautoryzowanemu dostępowi lub niewłaściwemu wykorzystaniu. Niezgodności w tym zakresie często wynikają z braku procedur zarządzania dostępem użytkowników. Należy zwrócić szczególną uwagę na pracowników zmieniających działy, opuszczających firmę lub udzielających dostępu stronom trzecim, takim jak pracownicy tymczasowi czy dostawcy.

 

7. Brak przeprowadzania regularnej oceny ryzyka

Zgodnie z wymaganiami normy, jest obowiązek regularnie oceniać ryzyko dla zasobów informacyjnych i wdrażać kontrole w celu ograniczenia tego ryzyka. Bez regularnych ocen możesz nie być świadomy nowych lub pojawiających się zagrożeń. Istnieje również możliwość, że w organizacji nie ma wystarczających środków kontroli, aby chronić się przed tymi zagrożeniami. Najlepiej jest ustalić harmonogram ocen - i trzymać się go.

 

8. Nieodpowiedni monitoring urządzeń mobilnych (w tym laptopów)

Korzystanie w różnych miejscach ze służbowych urządzeń mobilnych staje się coraz bardziej powszechne, zwłaszcza w związku z przejściem na pracę z domu. Pojawia się wtedy ryzyko wynikające z używania służbowego sprzętu w celach prywatnych – odwiedzanie niebezpiecznych stron internetowych, czy pobieranie zainfekowanych plików. Organizacja powinna mieć odpowiednie kontrole bezpieczeństwa, aby chronić się przed zagrożeniami, jakie stwarza przewożenie urządzeń oraz korzystanie z nich poza biurem.

 

9. Nieprzestrzeganie wymogów prawnych i regulacyjnych

Pomimo tego, że auditor szuka spełnienia zgodności funkcjonowania systemu z wymaganiami normy, organizacja musi również przestrzegać wymogów prawnych w kraju, w którym jest zarejestrowana i funkcjonuje. Niezastosowanie się do nich może nie tylko skutkować niezgodnościami, ale również grzywnami i karami w momencie kontroli państwowych. Nadążanie za przepisami może być trudne - ale leży to w odpowiedzialności firmy.

 

10. Nieodpowiednie szkolenie w zakresie bezpieczeństwa

Pracownicy mogą być ogromnym kapitałem, ale często są również najsłabszym ogniwem w zabezpieczeniach organizacji — zwykle z powodu pozornie niewinnych błędów. Aby ograniczyć ryzyko, konieczne jest zapewnienie pracownikom regularnych szkoleń z zakresu bezpieczeństwa. Pomogą im one zrozumieć znaczenie bezpieczeństwa informacji i ich rolę w ochronie aktywów organizacji. Obszar szkoleń jest często zaniedbany, ze względu na ograniczenia budżetowe.

 

Powyższe punkty potwierdzają fakt, że ISO/IEC 27001 to nie tylko bezpieczeństwo cybernetyczne – to system zarządzania, który w równym stopniu dotyczy podejścia organizacji bezpieczeństwa jak i pracujących z nim ludzi.

 

Jeżeli firma jest gotowa, żeby rozpocząć proces certyfikacji systemu ISO/IEC 27001, ISOQAR może od ręki przygotować ofertę dla Państwa organizacji. Sprawnie planujemy audit, a nasi auditorzy charakteryzują się pragmatycznym podejściem, dzięki czemu łatwo jest z nimi znaleźć wspólny język.

 

Skontaktuj się z nami, by uzyskać akredytowany certyfikat ISO/IEC 27001!

 

Sprawdź również naszą ofertę szkoleń.

Skontaktuj się z nami

„Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informujemy, iż Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa.  Państwa dane osobowe przetwarzane będą w celach kontaktowych niezbędnych do realizacji usługi, zgodnie z obowiązującymi przepisami prawa na podstawie art. 6 ust. 1 lit. f RODO.„

>>Wyrażam zgodę na przetwarzanie moich danych osobowych przez ISOQAR CEE sp. z o.o jako administratora danych osobowych, w celach otrzymywania informacji handlowych i marketingowych wysyłanych na podany adres e-mail na podstawie art. 6 ust. 1 lit. a RODO. Więcej informacji w Polityka prywatności

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Klauzula informacyjna newsletter

Polityka prywatności

Klauzula informacyjna w zakresie przetwarzania danych osobowych na potrzeby newsletter

W związku z obowiązywaniem od dnia 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, str. 1), zwanego dalej „rozporządzeniem RODO”, informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

  2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

  3. Pani/Pana dane osobowe będą przetwarzane w celach wysyłki i otrzymywania newslettera.

  4. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie wyrażonej przez Panią/Pana zgody (podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO

  5. Pani/Pana dane osobowe będą przetwarzane do czasu cofnięcia przez Panią/Pana zgody. 

  6. Odbiorcą Pani/Pana danych osobowych będą podmioty, którym Administrator zleca wykonywanie czynności, z którymi wiąże konieczność przetwarzania danych (podmioty przetwarzające) oraz podmioty publiczne na podstawie odrębnych przepisów prawa. 

  7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu prawo dostępu do treści danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. 

  8. Ma Pani/Pan prawo do cofnięcia zgody na przetwarzanie Pani/Pana danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  9. W przypadku uznania, że przetwarzanie przez Administratora Pani/Pana danych osobowych narusza przepisy Rozporządzenia ma Pani/Pan prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). 

  10. Podanie przez Panią/Pana danych osobowych jest dobrowolne, jednak jest warunkiem wysyłki newslettera.

  11. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany, nie będą poddawane profilowaniu.

  12. Pani/Pana dane osobowe mogą być przekazywane do państwa trzeciego (UK).

Klauzula informacyjna zapytanie ofertowe

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:

1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną:  iod@isoqar.pl

3. Pani/Pana dane osobowe przetwarzane będą w celu:

•             odpowiedzi na zapytanie ofertowe na podstawie art. 6 ust. 1 lit. f RODO

więcej informacji pod linkiem

•             kontaktu w celu przekazania informacji marketingowych i handlowych na podstawie art. 6 ust. 1 lit. a RODO

•             w celu realizacji prawnie uzasadnionego interesu Spółki, polegającego na ewentualnym ustaleniu lub dochodzeniu roszczeń lub obronie przed roszczeniami, na podstawie prawnie uzasadnionego interesu Spółki (art. 6 ust. 1 lit. f RODO).

4. Odbiorcą Pani/Pana danych osobowych będą wspólnicy i pracownicy Administratora w zakresie swoich obowiązków służbowych na podstawie upoważnienia.

5. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego ani organizacji międzynarodowej;

6. Pani/Pana dane osobowe będą przechowywane do czasu zakończenia współpracy lub do czasu cofnięcia przez Pani/Pana zgody.

7. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do przenoszenia danych.

8. Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego- Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;

9. Podanie przez Pana/Panią danych osobowych jest dobrowolne, jednak konieczne w celu realizacji przedmiotu umowy/ jest konieczne w związku z przepisami szczególnymi ustawy (przetwarzanie danych osobowych jest wymogiem ustawowym). W przypadku niewyrażenia zgody na przetwarzanie danych osobowy, Administrator może zrezygnować z zawarcia umowy.

10. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania tzn. żadne decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływające nie będą oparte wyłącznie na automatycznym przetwarzaniu danych osobowych i nie wiążą się z taką automatycznie podejmowaną decyzją.