LRQA Polska - Measure the difference

ISO/IEC 27001:2005

System Zarządzania Bezpieczeństwem Informacji

Celem ISO /IEC 27001 jest zapewnienie, że poufność, integralność i dostępność informacji "stron zainteresowanych" są właściwie zabezpieczone. Dotyczy to zarówno klientów, pracowników, partnerów handlowych jak i całości społeczeństwa.

Systemy, które nie są zabezpieczone są narażone na działanie wirusów, oszustwa, sabotaż. Niewłaściwe zabezpieczenie informacji może spowodować ich utratę, kradzież, umożliwić dostęp osobom niepowołanym lub też wywołać działania korupcyjne. Czy jesteś pewien, że w Twoim przypadku podjęte są odpowiednie działania, żeby takie sytuacje nie mogły się zdarzyć?

System zarządzania bezpieczeństwem informacji zgodny z wymaganiami ISO/IEC 27001, poprzednio znany jako BS7799, sekcja 2, pozwala zapewnić zarówno partnerów handlowych, jak i klientów, że firma poważnie traktuje tematy związane z tym zakresem.

Jakie korzyści wynikają z wdrożenia ISO/IEC 27001?

Audytorzy LRQA mają odpowiednią wiedzę i doświadczenie, aby przeprowadzać obiektywne audity systemu zarządzania bezpieczeństwem informacji. Przeprowadzenie auditu pomoże zwiększyć zaufanie do własnego systemu bezpieczeństwa, jako do najlepszej stosowanej praktyki w przemyśle.

Usługa związana z certyfikacją na zgodność z wymaganiami ISO/IEC 27001 jest akredytowana. Certyfikacja systemu jest zobowiązaniem firmy do zarządzania bezpieczeństwem informacji, może też przynieść następujące korzyści:

• Zwiększenie konkurencyjności - partnerzy w biznesie często są zainteresowani tym, w jaki sposób funkcjonują systemy informatyczne. Część firm, jako warunek wstępny do podjęcia rozmów, wymaga certyfikatu ISO/IEC27001.

• Otwartość - możliwość poddania swoich systemów auditom drugiej strony lub też przedstawienie oświadczenia odnośnie własnych możliwości bez wyjawiania informacji na temat stosowanych zasad bezpieczeństwa

• Minimalizowanie ryzyka biznesowego - redukcja ryzyka związanego z zagrożeniem związanym z utratą bezpieczeństwa i pojawieniem się słabych punktów w stosowanym systemie bezpieczeństwa. Możliwość utrzymywania ciągłości funkcjonowania firmy dzięki zminimalizowaniu niedociągnięć w systemie.

• Zgodność z wymaganiami prawnymi - jest utrzymywana dzięki aktualizacji wymagań. W Wielkiej Brytanii ISO/IEC 27001 jest rekomendowany jako sposób na spełnienie wymagań zawartych w Ustawie z 1998r. dotyczącej Ochrony Danych.

• Zwiększenie zaufania - nasi auditorzy mają odpowiednią wiedzę i kwalifikacje z zakresu bezpieczeństwa informacji oraz innych aspektów związanych z informatyką, dlatego ich obiektywna ocena może pomóc zwiększyć zaufanie do własnego systemu bezpieczeństwa, jako do najlepszej stosowanej praktyki w przemyśle.

• Ciagły nadzór - wizyty kontrolne przeprowadzane co sześć miesięcy pozwalają potwierdzić, że system zarządzania bezpieczeństwem informacji jest właściwie utrzymywany i zgodny z wymaganiami.

Podstawowe informacje o ISO/IEC 27001 / ISO/IEC 17799.

Wprowadzony przez DTI w 1995r. jako BS7799 stanowił przewodnik najlepszych praktyk stosowanych w zarządzaniu bezpieczeństwem informacji. Standard składa się z dwóch sekcji:

ISO/IEC 27001 jest standardem, który firmy poddają ocenie w celu uzyskania certyfikatu. W 2005r. standard został uaktualniony, oparty o zasady PDCA (planuj, zrób, sprawdź, działaj) i zbudowany podobnie jak ISO 9001 i ISO 14001. W celu zapewnienia poufności, integralności i dostępności informacji wymaga przeprowadzenia oceny ryzyka i analizy wpływu biznesu na zarządzanie ryzykiem.

W 2005r. został również przejrzany standard ISO/IEC 17799; stanowi on przewodnik do wdrażania systemu, określania celów związanych z bezpieczeństwem oraz zarządzania ryzykiem zidentyfikowanym w procesie oceny ryzyka wymaganej przez ISO/IEC 27001. W 2007r. zostanie zmieniony numer tego standardu na ISO/IEC 27002.