ISO 27001 sděleno společnosti, která je jeho vlastníkem

Co přesně je ISO 27001 Certified Information Security Management System a jaké standardy musí být splněny, aby bylo možné jej získat? Skutečně to přináší informačnímu trhu skutečnou hodnotu a proč mu největší finanční instituce, jako jsou banky, připisují tak velký význam?

(Transparent Data) (6. listopadu 2020)

Norma systému řízení bezpečnosti informací ISO 27001

Užívání Čtvrtý po sobě jdoucí audit ISO 27001 společnosti Transparent Data odhalujeme některá hlavní i vedlejší tajemství této mezinárodní normy:

  • Co je ISO / IEC 27001 a kdo ji vytvořil
  • proč říká se, že přináší hodnotu na informační trh
  • Proč stojí za to zkontrolovat ať už to má společnost, která nám poskytuje údaje nebo je zpracovává,
  • NEJLEPŠÍ ISO 27001 Q & A pro com paničky, které přemýšlejí, zda to získat (mimo jiné, co je nejtěžší částí celého procesu certifikace)
  • 4 klíčové kroky celého procesu žádosti o certifikát ISO 27001 certifikát .

Co přesně je ISO / IEC 27001 certifikovaný systém řízení bezpečnosti informací?

Obecně řečeno, ISMS (Information Security Management System) v souladu s mezinárodní normou ISO / IEC 27001 je soubor pravidel definujících zavedení a zdokonalení nezávisle posuzovaného systému identifikace rizik a přesného bezpečnostního systému ve společnosti ve všech oblastech činnosti .

Tento mezinárodní, celosvětově respektovaný certifikát a požadavky na jeho získání byly stanoveny Mezinárodní organizací pro normalizaci (ISO), která je v současné době největší světovou nevládní organizací stanovující obchodní standardy a Mezinárodní elektrotechnickou komisí (IEC), která je nejznámější globální organizací pro vývoj technologických standardů. Normy připravené těmito orgány tvoří základ národních norem a reference pro mezinárodní smlouvy a výběrová řízení.

Splnění normy ISO / IEC 27001 dokazuje nejvyšší ochrana všech obchodních a důvěrných údajů, a tím minimalizace rizika neoprávněného přístupu k nim.

Získání tohoto certifikátu se řadí mezi největší společnosti na světě trh. Jedná se o zvláštní rozdíl, protože stále existuje několik společností zabývajících se poskytováním ekonomických a obchodních informací nebo implementací nástrojů podporujících analýzu informací pro podnikání, které se mohou pochlubit splněním tohoto standardu.

Jakou hodnotu má ISO 27001 přináší na informační trh?

Když přemýšlíme o podpoře našeho vlastního podnikání externími obchodními informacemi, v první řadě bereme v úvahu jeho včasnost a důvěryhodnost. Nikdo nepotřebuje zastaralé informace, protože existuje jejich novější a změněná verze. Odhady, názory, nespolehlivé údaje nejsou něco, na čem bychom chtěli založit svá rozhodnutí.

Pokud pečlivě zvážíme postup nákupu informací o společnosti, rychle dospějte k ještě jednomu závěru – není důležité jen to, co nakupujeme, ale také od koho. Jak jsou informace ukládány, kdo k nim má přístup a jak jsou chráněny proti nežádoucí únik je stejně důležitý. Připomeňme si například letošní významné narušení osobních údajů zákazníků Zoom.

Řekněme to znovu:

kdo nakupuje informace od důležitých věcí.

To je jeden z důvodů, proč se nejmocnější instituce, jako jsou banky, rozhodly spolupracovat pouze s podniky certifikovanými podle normy ISO / IEC 27001.

ISO 27001 od perspektiva společnosti, která ji má: TOP Q & A

Co v praxi znamená získání certifikace ISO / IEC 27001? Jak to ovlivňuje obchodní operace?

Samotný proces dosažení souladu se standardem přináší značnou hodnotu interním procesům společnosti, jejím posláním a cílům – umožňuje organizovat aplikované postupy a podporuje rozvoj dobrých návyků péče o informační bezpečnost zaměstnanci společnosti na všech úrovních.

Jako jediný takový standard také umožňuje ověřit, zda řešení přijatá společností skutečně stojí na nejvyšší úrovni nebo zda by měl být vylepšen bezpečnostní systém. Takové znalosti jsou pro společnost zaměřenou na rozvoj vždy cenné.

Externě však získání normy ISO 27001 otevírá dveře ke spolupráci s těmi nejnáročnějšími klienty, jako jsou banky nebo globální korporace. Jinými slovy, pozitivně ovlivňuje růst důvěry zákazníků a důvěryhodnosti společnosti na trhu.

Pokud hodnota normy ISO 27001 přispívá ke zvýšení důvěry zákazníků a důvěryhodnosti společnosti, proč tak málo společností poskytujících informace se na tento certifikát nevztahuje?

Postup získání ISO / IEC 27001 je dlouhý, komplikovaný a vyžaduje, aby společnost splňovala velmi přesné požadavky týkající se systému identifikace rizik a bezpečnosti ekonomiky, obchodní a důvěrné informace. Certifikovaný systém řízení bezpečnosti informací je běžně spojován s mnoha měsíci příprav a školení, a proto se většina společností domnívá, že je k dispozici pouze těm největším hráčům se značným kapitálem a stovkami zaměstnanců.

Ať už jsou malé a velké střední společnosti mohou také získat certifikaci ISO 27001?

Ano, a víme to z vlastní zkušenosti. V Transparent Data nemáme stovky zaměstnanců a přesto se nám podařilo prolomit stereotyp, na kterém záleží. Jsme relativně malý datový softwarový dům, ale na oplátku jsme velmi agilní a rychlí, proto jsme navzdory zvýšenému počtu povinností, které na nás padly spolu s přípravou na certifikační audit, prošli celým postupem hladce.

Jak dlouho je certifikace ISO 27001 platná?

Standardně 3 roky, ale minimálně jednou ročně přijde certifikační orgán do společnosti, aby znovu zkontroloval shodu s normami ISO 27001 a zda společnost opravdu se snaží vylepšit systémy. Na rozdíl od většiny ostatních standardů je tedy tento jedinečný. Získáním práce nekončí. Stále musíte být připraveni to dodržet.

Je obtížné splnit mezinárodní bezpečnostní standardy správy informací? Souvisí ISO 27001 s implementací složitých postupů?

Pokud jste společnost, která působí na trhu již mnoho let a má ve svém portfoliu velké a náročné zákazníky, pak většina bezpečnostních postupů je již v praxi, a pokud ne, jejich implementace vám nezpůsobí mnoho problémů. Alespoň to byl náš případ. Jako poskytovatel dat jsme museli zdokonalit naše postupy více než jednou nebo dvakrát, abychom splnili velmi vysoké bezpečnostní požadavky finančních institucí dlouho před zahájením certifikace ISO / IEC 27001. Proto pro nás implementace nebyla nijak zvlášť obtížná.

Celá zkušenost se však ukázala jako velmi cenná z hlediska organizační kultury – před ISO 27001 jsme již udělali mnoho věcí, ale pouze vidět je napsané v podobě požadavků nás plně uvědomilo, proč to děláme. Jako organizace jsme z toho určitě měli prospěch.

Jaká je nejtěžší část celého procesu certifikace ISO 27001?

Pravděpodobně bychom o tom neměli mluvit nahlas, ale buďme transparentní – nejtěžší částí je formální část, tj. hromady dokumentů čekajících na vyplnění. Bohužel byste si měli vyhradit několik týdnů na tuto činnost a pamatovat na to, že každá změna ve společnosti, i když se jedná o maličkost výměna počítače vyžaduje vyplnění nikoliv dalšího dokumentu, ale celé složky dokumentů.

Existují nějaké konkrétní zásady, které definují standard správy zabezpečení informací?

Nejdůležitější je třeba vyvinout knihu integrovaného systému řízení, která definuje celý rozsah povinností, které musí být splněny, aby bylo možné splnit normu ISO. Obsahuje celý seznam postupů, pokynů, zásad, zdrojů společnosti a grafů odpovědnosti za správu.

Dále máme mimo jiné politiku zabezpečení informací, která definuje rozsah odpovědností a povinností souvisejících se zpracováním osobních údajů (např. povinnosti správce informační bezpečnosti, správce systémů IT, zástupce integrovaného managementu systému a dalších zaměstnanců společnosti). Popisuje také, jaké typy dat jako společnost spravujeme, ve kterých systémech jsou zpracovávány nebo jaké datové sady jsme správcem.

Mezi další hlavní zásady patří například zásady kontinuity podnikání, jehož cílem je zaručit stabilitu práce v oblasti zpracování informací. Musí mimo jiné zahrnovat scénáře chování v případě kybernetického útoku, selhání systému, výpadku proudu, požárů, katastrof, absence klíčových zaměstnanců nebo ztráty majetku důležitého pro společnost.

Jak vypadá celý proces žádosti o certifikát ISO 27001?

Celý proces žádosti o certifikát ISO 27001 lze rozdělit do 4 klíčových kroků:

  1. Co musíte udělat hned na začátku, je důkladná studie požadavků obsažených v ISO 27001 a poté analyzovat všechny dokumenty, které společnost již má z hlediska nich. Pokud zjistíme nedostatky nebo nesrovnalosti, musíme upravit naše vnitřní zásady podle mezinárodního standardu a upravit nebo vytvořit nové dokumenty.
  2. Dalším krokem je proškolení všech zaměstnanců a celého vedoucího personálu v oblasti zásad platných v normě ISO / IEC 27001. To vyžaduje , samozřejmě, jmenování vhodných lidí ve společnosti, kteří budou odpovědní za projekt od A do Z.
  3. Pouze pak můžete začít implementovat potřebný bezpečnostní systém stonky a musí „pracovat“ v přirozeném každodenním prostředí společnosti minimálně několik měsíců a to, zda skutečně fungují, by mělo být potvrzeno interním auditem, což znamená že někdo ve společnosti musí být interním certifikovaným auditorem nebo získat příslušná oprávnění.
  4. Pokud jsme již dokončili vytváření veškeré dokumentace, školení zaměstnanců a v praxi skutečně dodržujeme uvedené standardy, teprve potom máme zelenou, abychom zahájili oficiální úsilí o získání certifikátu. Poté musíme najít externí certifikační orgán systémů pro správu a být připraveni na nezávislý externí audit . Společnost obdrží certifikát až po tomto formálním posouzení.

Skutečná hodnota ISO 27001 v podnikání (perspektiva klienta)

Vysvětlit důležitost Standard 27001 v oblasti podnikových dat, můžeme porovnávat společnosti poskytující obchodní informace mincovnám. Každá společnost dodává na trh ekonomické informace, tj. Zlato. Tyto vědomější společnosti se snaží zvýšit bezpečnost svých i svých zákazníků pomocí zvláštních opatření, jako je ochrana konvoje nebo další bezpečnostní zámky. ISO 27001 v tomto srovnání je speciální jednotka a 15 mm silný řetěz se třemi visacími zámky – jeden pro kombinaci, druhý pro otisk prstu a třetí pro to, co jste právě snědli k snídani.

Také by vás mohlo zajímat :

(

Problém starších systémů – ABC technologického dluhu

„Starší systémy“ – toto jméno dokonale odráží jejich zastaralou i problematickou povahu. Tyto aplikace a…

medium.com

) (

Jak se vypořádat se staršími systémy? Strategie, jak se dostat z technologického dluhu

Budování nového systému od nuly, refaktorování kódu a přepisování kódu – to jsou tři strategie, jak se dostat z…

medium.com

) (

Automatizace B2B zákazníků při registraci s regulačními daty

Jak zkrátit proces registrace obchodního zákazníka a urychlit registraci? Která pole registrace…

medium.com

)