Jakie obszary działalności firmy reguluje norma ISO IEC 27001?

Kwestia bezpieczeństwa informacji w dzisiejszych czasach jest bardzo ważna. Głównie dlatego, że do wielkich i małych organizacji docierają codziennie setki danych oraz wiadomości, dotyczących zarówno jednostek prywatnych, jak i publicznych.

Aby chronić te wiadomości powstała norma ISO IEC 27001, czyli międzynarodowy standard systematyzujący zarządzanie bezpieczeństwem informacji. W Polsce ogłoszono ją w 2007 roku, zatem jest to norma stosunkowo nowa i stale się rozwijająca.

Mimo małego stażu jest ona jednak bardzo rozwinięta a obszary jej działalności niezwykle liczne.

Jakie obszary działalności firmy reguluje norma ISO IEC 27001?

Na bezpieczeństwo informacji w organizacjach wpływa jedenaście obszarów, dzięki którym ochrona danych jest możliwa na każdym poziomie działalności. Są to:

Polityka bezpieczeństwa – jest to zbiór zasad dotyczących działania na rzecz bezpieczeństwa informacji, który powinna wprowadzić każda organizacja chcąca spełniać wszystkie wymagania prawne i kontraktowe związane z ochroną zwłaszcza danych osobowych. Dana firma czy przedsiębiorstwo praktykujące politykę bezpieczeństwa deklaruje, że wdrożone przez nich systemy bezpieczeństwa będą ciągle doskonalone i przestrzegane zgodne z wymogami ISO IEC 27001.

Organizacja bezpieczeństwa informacji – zgodnie z wymogami tego rodzaju normy muszą działać również właściciele firm, którzy powierzają ochronę danym i konkretne zadania z nią związane swoim pracownikom. Taka organizacja i przypisanie odpowiedzialności za konkretne zadania zapewnia bezpieczeństwo informacji na wysokim poziomie.

Zarządzanie aktywami – informacja jest składnikiem aktywów, czyli pewnego rodzaju wartości, które pełnią kluczową rolę dla organizacji przedsiębiorstw.

Norma ISO pozwala zatem odpowiednio zabezpieczać i zarządzać takowymi aktywami, a ponadto identyfikować je w celu określenia odpowiednich obowiązków związanych z ochroną informacji.

  1. Bezpieczeństwo zasobów ludzkich – w tym obszarze istotne jest, by właściciel danej firmy, czy też osoba odpowiedzialna za pracowników zapewniła im odpowiednie szkolenia i wyjaśniła zakres obowiązków przed zatrudnieniem; by wyjaśniła, jak działa polityka firmy i po prostu by zapewniła, że dane osobowe są odpowiednio zabezpieczane.
  2. Bezpieczeństwo fizyczne i środowiskowe – norma ISO IEC 27001 zawiera również obszar mówiący o odpowiednim zabezpieczaniu pomieszczeń, w których przechowywane są wszystkie poufne informacje.
    To samo dotyczy wszystkich sprzętów elektronicznych, na których owe informacje się znajdują, jednak w tym wypadku za ochronę przed hakerami odpowiada głównie kolejny obszar.
  3. Zarządzanie systemami i sieciami – szyfrowanie i zarządzanie systemem kluczowym poufnych informacji (czyli tzw. kryptografia) pozwala zapewnić, że urządzenia służące do przetwarzania danych są bezpieczne i odpowiednio chronione przed błędami systemu czy kolokwialnie mówiąc przez wypłynięciem do sieci.
  4. Kontrola dostępu – ten obszar normy ISO zapewnia właścicieli czy też samych pracowników o tym, że mogą oni przeglądać i korzystać wyłącznie z tych informacji, które są istotne i potrzebne w ich pracy.
    Dzięki temu wiadomości dotyczące działania wewnętrznego firmy są bezpieczne i dostępne tylko dla osób zarządzających.
  5. Zarządzanie ciągłością działania – jest to niezwykle ważny obszar w aspekcie bezpieczeństwa informacji dla firm, które prosperują na rynku już bardzo długo. Wiadomo, że po jakimś czasie ich działalność dosięgną jakieś zakłócenia, które jednak norma ISO IEC 27001 pozwoli w sprawny sposób zniwelować.
  6. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych – systematyczna konserwacja systemu pozwala zapewnić pracowników, a także i klientów firm, że bezpieczeństwo informacji jest centralną częścią ich systemów organizacji.
    Obszar ten jest kluczowy zwłaszcza w zapewnieniu o ochronie danych osobowych.
  7. Zarządzanie incydentami związanymi z bezpieczeństwem informacji – ten obszar działalności standardu przede wszystkim informuje o tym jak zgłaszać zakłócenia i naruszenia bezpieczeństwa informacji.
    Ponadto pozwala wykryć, kto lub co jest za nie odpowiedzialny na podstawie obserwacji działań systemu.
  8. Zgodność z wymaganiami prawnymi i własnymi standardami – ostatni już obszar normy ISO dotyczy tego jak w sprawny sposób zidentyfikować wszystkie prawa i przepisy bezpieczeństwa informacji stosowane w danej firmie, by jeszcze lepiej wprowadzać je w życie.

obsary działalności firmy

Można zatem zauważyć, że obszar działania normy ISO IEC 27001 jest naprawdę bardzo szeroki. Nic w tym dziwnego, ponieważ ochrona danych stanowi podstawę dobrze prosperującego przedsiębiorstwa. Dlatego też wszystkie działania podejmowane w kwestii bezpieczeństwa informacji stają się wręcz wymogiem stawianym firmom przez państwo i społeczeństwo.