Kwestia bezpieczeństwa informacji w dzisiejszych czasach jest bardzo ważna. Głównie dlatego, że do wielkich i małych organizacji docierają codziennie setki danych oraz wiadomości, dotyczących zarówno jednostek prywatnych, jak i publicznych.
Aby chronić te wiadomości powstała norma ISO IEC 27001, czyli międzynarodowy standard systematyzujący zarządzanie bezpieczeństwem informacji. W Polsce ogłoszono ją w 2007 roku, zatem jest to norma stosunkowo nowa i stale się rozwijająca.
Mimo małego stażu jest ona jednak bardzo rozwinięta a obszary jej działalności niezwykle liczne.
Jakie obszary działalności firmy reguluje norma ISO IEC 27001?
Na bezpieczeństwo informacji w organizacjach wpływa jedenaście obszarów, dzięki którym ochrona danych jest możliwa na każdym poziomie działalności. Są to:
Polityka bezpieczeństwa – jest to zbiór zasad dotyczących działania na rzecz bezpieczeństwa informacji, który powinna wprowadzić każda organizacja chcąca spełniać wszystkie wymagania prawne i kontraktowe związane z ochroną zwłaszcza danych osobowych. Dana firma czy przedsiębiorstwo praktykujące politykę bezpieczeństwa deklaruje, że wdrożone przez nich systemy bezpieczeństwa będą ciągle doskonalone i przestrzegane zgodne z wymogami ISO IEC 27001.
Organizacja bezpieczeństwa informacji – zgodnie z wymogami tego rodzaju normy muszą działać również właściciele firm, którzy powierzają ochronę danym i konkretne zadania z nią związane swoim pracownikom. Taka organizacja i przypisanie odpowiedzialności za konkretne zadania zapewnia bezpieczeństwo informacji na wysokim poziomie.
Zarządzanie aktywami – informacja jest składnikiem aktywów, czyli pewnego rodzaju wartości, które pełnią kluczową rolę dla organizacji przedsiębiorstw.
Norma ISO pozwala zatem odpowiednio zabezpieczać i zarządzać takowymi aktywami, a ponadto identyfikować je w celu określenia odpowiednich obowiązków związanych z ochroną informacji.
- Bezpieczeństwo zasobów ludzkich – w tym obszarze istotne jest, by właściciel danej firmy, czy też osoba odpowiedzialna za pracowników zapewniła im odpowiednie szkolenia i wyjaśniła zakres obowiązków przed zatrudnieniem; by wyjaśniła, jak działa polityka firmy i po prostu by zapewniła, że dane osobowe są odpowiednio zabezpieczane.
- Bezpieczeństwo fizyczne i środowiskowe – norma ISO IEC 27001 zawiera również obszar mówiący o odpowiednim zabezpieczaniu pomieszczeń, w których przechowywane są wszystkie poufne informacje.
To samo dotyczy wszystkich sprzętów elektronicznych, na których owe informacje się znajdują, jednak w tym wypadku za ochronę przed hakerami odpowiada głównie kolejny obszar. - Zarządzanie systemami i sieciami – szyfrowanie i zarządzanie systemem kluczowym poufnych informacji (czyli tzw. kryptografia) pozwala zapewnić, że urządzenia służące do przetwarzania danych są bezpieczne i odpowiednio chronione przed błędami systemu czy kolokwialnie mówiąc przez wypłynięciem do sieci.
- Kontrola dostępu – ten obszar normy ISO zapewnia właścicieli czy też samych pracowników o tym, że mogą oni przeglądać i korzystać wyłącznie z tych informacji, które są istotne i potrzebne w ich pracy.
Dzięki temu wiadomości dotyczące działania wewnętrznego firmy są bezpieczne i dostępne tylko dla osób zarządzających. - Zarządzanie ciągłością działania – jest to niezwykle ważny obszar w aspekcie bezpieczeństwa informacji dla firm, które prosperują na rynku już bardzo długo. Wiadomo, że po jakimś czasie ich działalność dosięgną jakieś zakłócenia, które jednak norma ISO IEC 27001 pozwoli w sprawny sposób zniwelować.
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych – systematyczna konserwacja systemu pozwala zapewnić pracowników, a także i klientów firm, że bezpieczeństwo informacji jest centralną częścią ich systemów organizacji.
Obszar ten jest kluczowy zwłaszcza w zapewnieniu o ochronie danych osobowych. - Zarządzanie incydentami związanymi z bezpieczeństwem informacji – ten obszar działalności standardu przede wszystkim informuje o tym jak zgłaszać zakłócenia i naruszenia bezpieczeństwa informacji.
Ponadto pozwala wykryć, kto lub co jest za nie odpowiedzialny na podstawie obserwacji działań systemu. - Zgodność z wymaganiami prawnymi i własnymi standardami – ostatni już obszar normy ISO dotyczy tego jak w sprawny sposób zidentyfikować wszystkie prawa i przepisy bezpieczeństwa informacji stosowane w danej firmie, by jeszcze lepiej wprowadzać je w życie.
Można zatem zauważyć, że obszar działania normy ISO IEC 27001 jest naprawdę bardzo szeroki. Nic w tym dziwnego, ponieważ ochrona danych stanowi podstawę dobrze prosperującego przedsiębiorstwa. Dlatego też wszystkie działania podejmowane w kwestii bezpieczeństwa informacji stają się wręcz wymogiem stawianym firmom przez państwo i społeczeństwo.