ISO 27001 – korzyści z wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w Organizacji

ISO 27001 – korzyści z wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w Organizacji (2019-09-06)


W dzisiejszych czasach informacja to majątek firmy, który jest równie ważny jak inne składniki kapitału przedsiębiorstwa, o ile nawet nie jest to najważniejszy element składowy. Obecnie bowiem często to właśnie dzięki dostępowi do właściwej informacji i odpowiednim jej wykorzystaniu np. w negocjacjach, utrzymaniu w tajemnicy know-how itp., odpowiedniej efektywności procesów komunikacji wewnętrznej i zewnętrznej, możliwości przetwarzania znacznych ilości danych, przedsiębiorstwa mogą skutecznie wygrywać z konkurencją lub mogą ponosić istotne straty, a nawet być zmuszone do zamknięcia niektórych gałęzi działalności lub całych przedsiębiorstw. Przyczyny mogą dotyczyć nie tylko utraty poufności kluczowych informacji. Równie istotnym problemem może być brak dostępu do informacji lub dostęp do informacji nieprawdziwych. W zależności od rodzaju informacji i ich zastosowania na pierwszy plan mogą wysuwać się potrzeby w zakresie zachowania ich poufności, a w innych przypadkach dotyczące ich poufności i integralności. Niezależnie od tego co jest najistotniejszym atrybutem informacji, jedno można stwierdzić jednoznacznie: informacja wymaga odpowiedniej ochrony.

W mediach często słyszymy, czytamy o zdarzeniach i ich skutkach dotyczących wycieku informacji (np. do konkurencji, mediów), utraty informacji i/lub zakłóceniach w dostępie do danych czy też aktywów przetwarzających informację. Incydenty związane z bezpieczeństwem informacji występują zarówno za sprawą personelu jak i osób trzecich, poprzez internet, jak też spowodowane mogą być zaniedbaniami organizacyjnymi, pracowników itp.

Incydenty naruszenia bezpieczeństwa informacji mają miejsce pomimo wdrażanych przez organizacje zabezpieczeń w formie środków technicznych, w celu zapewnienia odpowiedniej poufności i/lub dostępności i/lub integralności istotnych informacji i danych. Jednak podejście do kwestii bezpieczeństwa z czysto technicznej perspektywy jest niewystarczającym działaniem.

 

Artykuły z portali i pierwszych stron codziennych gazet świadczą o skali problemu bezpieczeństwa informacji:

  • Kradzież patentów Apple przez Samsunga (120 mln)
    Forbes, 2014.05;

  • Microsoft przegrał spór patentowy z mało znaną firmą i4i z Kanady i musi jej zapłacić 290 milionów dolarów
    Gazetaprawna.pl, 2011.06;

  • Pożar w serwerowni (pomorze) – straty materialne, policzalne: ok. 100 tys. zł, straty związane z brakiem dostępu do danych
    Głos Szczeciński, 2015.03;

  • Ponad 140 pielęgniarek i położnych zaszło w ciążę. Szpitalowi grozi katastrofa
    TVN24.pl 2016.01;

  • Działalność portalu wikileaks.org
    Rozpoczęcie działalności: 2006.12; ilość opublikowanych dokumentów w ciągu 12 m-cy: 1,2 mln; www.wikileaks.org;

  • Urzędnicy wydali decyzję na podstawie nieprawdziwych informacji
    Poznań.naszemiasto.pl, 2011.09;

  • W dużych zakładach brak prądu. Naszym firmom grozi energetyczny paraliż?
    echodnia.pl; 2015.12;

  • Problemy z ePUAP. Użytkownicy: totalny paraliż. Ministerstwo: testujemy nową wersję
    TVN24.pl; 2015.04.

Obecny stopień informatyzacji i jej ciągły rozwój, powoduje, że przedsiębiorstwa przetwarzają nieporównywalnie większe ilości danych i informacji niż jeszcze kilka lat temu. Obecna technologia przyczyniła się do zwiększenia dostępności danych, jednak ucierpiały na tym pozostałe dwa atrybuty informacji jakimi są: poufność i integralność. W celu możliwie maksymalnego zabezpieczenia się przed utratą poufności istotnych danych, wdrażane są rozwiązania, które mają negatywne oddziaływanie na dostępność i integralność tych informacji. Działania mające na celu zapewnienie odpowiedniej dostępności i integralności mają z kolei negatywny wpływ na poufność danych itp.

Tylko dzięki systemowemu podejściu do zarządzania bezpieczeństwem informacji, opartym na rzetelnie przeprowadzonej ocenie ryzyka, w tym zakresie można w przedsiębiorstwie zapewnić skuteczną odpowiedź na te problemy. Jedynym narzędziem, które to umożliwia jest wykaz wymagań i wytycznych przedstawionych w normie ISO 27001 oraz normach wspomagających, których celem jest zapewnienie odpowiedniej skuteczności systemu zarządzania bezpieczeństwem informacji.

System Zarządzania Bezpieczeństwem Informacji ISO 27001 ma zapewnić odpowiedni poziom odporności organizacji na zakłócenia i zagrożenia związane z bezpieczeństwem informacji, które mają lub mogłyby wywrzeć negatywny wpływ na ciągłość działania organizacji oraz na realizację przyjętych przez nią celów biznesowych.


Korzyści z wdrożenia ISO 27001

Podstawowymi korzyściami z wdrożenia i stosowania systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami ISO 27001 są:

  1. eliminacja lub redukcja ryzyka wystąpienia zdarzeń związanych z bezpieczeństwem informacji,

  2. przygotowanie organizacji na zdarzenia związane z bezpieczeństwem informacji, w tym, dzięki odpowiednim procedurom, skuteczne przezwyciężanie incydentów, gdy się pojawią (efektywna odpowiedź, minimalizacja ich wpływu na organizację),

  3. pro-aktywne podejście do zarządzania bezpieczeństwem informacji poprzez zapobieganie potencjalnym skutkom zdarzeń dotyczących bezpieczeństwa informacji, do których zaliczyć można między innymi:

    • straty wynikające z potencjalnych odszkodowań dla Klientów i interesariuszy,

    • kary związane z niestosowaniem przepisów prawa lub regulacji umów cywilno-prawnych,

    • brak możliwości realizacji działalności lub poszczególnych procesów i działań (ze względu na brak dostępu do niezbędnych do tego celu danych),

    • utrata zaufania Klientów oraz interesariuszy (zły PR, utrata reputacji),

    • konsekwencje działań realizowanych na podstawie nie pełnych i/lub nieprawdziwych danych,

    • skutki wynikające z działań sabotażowych przeprowadzonych przez niezadowolonych pracowników,

    • straty materialne i niematerialne (wizerunek w oczach Klientów, lojalność i zaufanie Klientów) wynikające z mających miejsce zakłóceń ciągłości działania oraz nieskoordynowanego postępowania w celu przywrócenia normalnej działalności organizacji (lub przynajmniej przywrócenia działalności na minimalnym akceptowalnym poziomie),

  4. wdrożony standard podnosi wiarygodność organizacji w oczach klientów, inwestorów i udziałowców (wszystkich interesariuszy),

  5. poprawa efektywności procesów oraz działań poprzez uregulowanie kwestii związanych z dostępem pracowników do właściwej oraz spójnej informacji, niezbędnej z punktu widzenia wykonywanych obowiązków oraz przydzielonych odpowiedzialności (brak nadmiarowej, niepotrzebnej informacji, dostęp zawsze, gdy to niezbędne),

  6. zapewnienie odpowiedniego poziomu odporności organizacji na zakłócenia działalności związane z bezpieczeństwem informacji oraz skuteczne zarządzanie zdarzeniem w przypadku materializacji zagrożenia w tym między innymi poprzez skuteczną i efektywną realizację Planów Wznowienia Działalności (Plany Ciągłości Działania – BCP),

  7. spełnienie coraz częściej występujących w prawodawstwie wymagań w tym zakresie, wymagań obecnych i potencjalnych klientów organizacji, a także ubezpieczycieli,

  8. zapewnienie bezpieczeństwa interesom Klienta w wyniku poprawnie funkcjonującego systemu zarządzania informacją,

  9. stosowanie odpowiedniego do ryzyka poziomu jakości ochrony aktywów informacyjnych,

  10. wzrost świadomości pracowników w zakresie bezpieczeństwa informacji,

  11. zwiększenie przewagi konkurencyjnej organizacji na rynku,

  12. uporządkowanie spółki w zakresie dostępu do spójnej i integralnej informacji oraz obiegu informacji,

  13. i wiele innych, zależnych od celów jakie organizacja określiła sobie przed projektem wdrożenia SZBI.


Dodatkowymi korzyściami są między innymi:

  • implementacja systemowych narzędzi i mechanizmów w odniesieniu do regulacji wynikających z przepisów prawa w tym w szczególności w zakresie bezpieczeństwa danych osobowych,

  • przegląd obecnych regulacji dotyczących bezpieczeństwa danych osobowych pod kątem ich adekwatności do sytuacji organizacji, zakresu przetwarzanych danych osobowych oraz poziomu ryzyka z nimi związanego,

  • poprawa efektywności zarządzania poszczególnymi procesami poprzez uwzględnienie regulacji dotyczących bezpieczeństwa informacji w ramach tych poszczególnych procesów oraz zapewnienie ich integralności z ich pozostałymi regulacjami w tym tymi dotyczącymi jakości, ochrony środowiska czy BHP,

  • uświadomienie pracownikom ich roli i odpowiedzialności w zarządzaniu bezpieczeństwem informacji w szczególności w zakresie mających zastosowanie przepisów prawa w zakresie wymagań dotyczących czynów nieuczciwej konkurencji i ich ewentualnych konsekwencji,

  • spełnienie wymagań normy ISO 9001:2015 w zakresie zapewnienia bezpieczeństwa informacji (regulacje punktu 7.5 normy ISO 9001:2015) w ramach dostosowywania systemu zarządzania jakością (podstawowego systemu ZSZ) do nowych wymagań.


Zapraszamy do zapoznania z informacjami dotyczącymi przebiegu projektu wdrażania systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami normy ISO 27001 (link do opisu projektu wdrożeniowego) oraz Naszej oferty związanej z tym tematem.

Zapraszamy do zapoznania z naszymi pozostałymi usługami dotyczącymi systemu zarządzania bezpieczeństwem informacji zgodnego z ISO 27001:


Back to Top