Jednym z ważniejszych standardów w zakresie bezpieczeństwa informacji jest norma ISO/IEC 27001. Aby uzyskać certyfikat, każda firma musi opracować i wdrożyć odpowiednie polityki, procedury oraz środki kontrolne, które zabezpieczają poufność, dostępność i integralność przetwarzanych informacji. Organizacje, które decydują się na jej wdrożenie i certyfikację, podnoszą poziom ochrony danych i zapewniają zgodność z wieloma wymogami prawnymi, w tym dotyczącymi ochrony danych osobowych. Warto podkreślić, że wymagania normy ISO 27001 w pełni odpowiadają obowiązkom wynikającym z RODO.

Zarządzanie bezpieczeństwem informacji

SZBI, czyli System Zarządzania Bezpieczeństwem Informacji, to kompleksowy zestaw polityk, procedur i instrukcji, które wspierają zarządzanie bezpieczeństwem informacji w organizacji. Kluczowym elementem systemu jest Polityka Bezpieczeństwa Informacji, która musi uwzględniać 10 podstawowych wymagań normy ISO/IEC 27001. Oprócz tego organizacja musi spełnić ponad 100 szczegółowych wymagań zawartych w Załączniku A (tzw. normatywnym).

Najważniejsze punkty normy dotyczą:

  • zdefiniowania kontekstu organizacji,
  • określenie roli przywództwa,
  • planowania,
  • wsparcia,
  • działań operacyjnych,
  • oceny efektów działania,
  • doskonalenia.

Te punkty określają ogólne wymagania jakie powinna spełnić organizacja, która chce uzyskać certyfikat zgodności. Z kolei „załącznik normatywny” szczegółowo opisuje konkretne zabezpieczenia dotyczące danych punktów.

Zgodność z RODO i innymi wymogami prawa

Istotne jest to, że zgodność z wymogami RODO i art. 25, czyli zasadą ochrony danych w fazie projektowania, była jednym z kluczowych zmian w podejściu do bezpieczeństwa informacji. Chodzi o zasadę wdrożenia środków bezpieczeństwa na etapie tworzenia systemu albo procesu, zamiast dopiero po jego wdrożeniu w danej organizacji, co było typową praktyką. Jedno z z zabezpieczeń wskazanych w załączniku A, czyli zabezpieczenie związane z łańcuchem dostaw, jest tożsame z wymaganiami RODO dotyczącymi „audytu procesorów”.

Biorąc pod uwagę wielowarstwowy proces certyfikacji firma, która posiada wdrożoną normę ISO 27001 zyskuje pewność, że podczas audytu zewnętrznego zostaną zweryfikowane także inne wymogi prawne, który powinna podlegać. Chodzi m.in. o zgodność z przepisami ustawy o ochronie sygnalistów, czy regulacji dotyczących pracy zdalnej. Konstrukcja normy i sam proces certyfikacji weryfikuje wszelkie braki formalno-prawne w danym przedsiębiorstwie.

Jak wygląda proces audyt certyfikującego?

Ostatecznym etapem wdrożenia SZBI jest audyt zewnętrzny, przeprowadzany przez akredytowaną jednostkę certyfikującą. Audyt składa się z dwóch etapów:

  • Weryfikacja dokumentacji – analiza procedur i ich zgodności z normą; znaczne niezgodności mogą skutkować przerwaniem procesu certyfikacji.
  • Ocena praktyczna – sprawdzenie wdrożenia SZBI w praktyce, np. zabezpieczenia fizyczne (kontrola dostępu, bezpieczeństwo stacji roboczych) czy świadomość pracowników w zakresie obowiązujących procedur.

Po pozytywnym wyniku audytu organizacja otrzymuje certyfikat ważny przez 3 lata. W tym czasie musi przeprowadzać regularne audyty wewnętrzne oraz coroczne audyty zewnętrzne.

Po upływie 3-letniego okresu ważności certyfikatu organizacja przechodzi proces recertyfikacji. Ponowny audyt weryfikuje, czy system zarządzania nadal spełnia wymagania normy i działa skutecznie. W przypadku pozytywnego wyniku certyfikat jest przedłużany na kolejny okres, co wymaga ciągłego doskonalenia i przeglądów systemu.

Futuristic smart city with 5G global network technology

Standard ISO 27001 – czy warto wdrożyć już teraz?

Choć obecnie nie ma obowiązku prawnego wdrażania normy ISO 27001, w wielu branżach certyfikat ten może być wymagany przez klientów, kontrahentów lub jako element spełnienia standardów branżowych. Przykładowo, sektor finansowy, zdrowotny czy technologii informacyjnych często oczekuje od dostawców wprowadzenia systemów zabezpieczeń zgodnych z ISO 27001.

W kontekście nadchodzących regulacji europejskich, takich jak NIS2 i DORA, przewiduje się, że posiadanie tego certyfikatu wkrótce stanie się formalnym wymogiem. Certyfikat nie tylko potwierdza zgodność z normami, ale także zapewnia regularne audyty wewnętrzne i zewnętrzne w obszarze bezpieczeństwa informacji, co zwiększa zaufanie i wiarygodność organizacji.

Krzysztof Podolski

Chief Technology Officer, Departament Compliance | RK RODO Zobacz w czym mogę pomóc

Poznajmy się

Już ponad 600 firm zaufało naszym kompetencjom!
Napisz do nas: [email protected]
lub zadzwoń na: +48 22 380 33 44