Bill Gates
System Zarządzania Bezpieczeństwem Informacji (SZBI)
Norma ISO/IEC 27001 zawiera wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji. System ten w swojej budowie i działaniu jest zbliżony do Systemu Zarządzania Jakością według normy ISO 9001. Wdrożenie systemu obejmuje wszystkie informacje, których bezpieczeństwem należy zarządzać. Niekiedy błędnie utożsamia się bezpieczeństwo informacji z informatyką. Jest to niesłuszne podejście. Czasami papier a nawet słowo mówione muszą być tak samo dobrze chronione jak zapis elektroniczny, właśnie dlatego, że są nośnikiem bardzo ważnej informacji. Dzisiaj efektywne zarządzenie bezpieczeństwem informacji to problem z którym boryka się każda organizacja.
Nie istnieje dzisiaj żadna działalność człowieka, która nie opierałaby się na wymianie informacji. Do wyprodukowania wyrobu oprócz materiałów i narzędzi konieczna jest również informacja w postaci wiedzy jak to wykonać ale również jak, komu i gdzie sprzedać. Najczęściej wiedza ta jest niezbędna do funkcjonowania organizacji na trudnym konkurencyjnym rynku i aby coś nie tylko wyprodukować ale przede wszystkim sprzedać z zyskiem.
Zakłócenie poziomu bezpieczeństwa informacji w prostej drodze prowadzi do strat finansowych, zakłóceń w funkcjonowaniu organizacji, do utraty dobrego imienia lub pozycji czy kar finansowych.
Zarządzanie bezpieczeństwem to nie tylko problem wewnętrzny firmy. To także bardzo często problem partnerów w biznesie. Każdy jest odbiorcą i dostawcą informacji i każdy chce zapewnienia aby proces wzajemnej wymiany informacji odbywał zgodnie z ustaleniami oraz, że będzie nadzorowany.
Model zawarty w normie pozwala efektywnie zarządzać wieloma aspektami przetwarzania informacji w organizacji. Dobrze zaprojektowany i wdrożony system po prostu usprawnia pracę porządkując proces przetwarzania informacji. To również jest istotny argument za wdrożeniem tego systemu.
Szereg przepisów i aktów prawnych wymaga bezwzględnie ochrony pewnych informacji w rachunkowości i przetwarzaniu danych osobowych. Brak takiej ochrony może skutkować ciężkimi sankcjami finansowymi, karnymi czy to w stosunku do organizacji czy do osób odpowiedzialnych i może doprowadzić nawet do zamknięcia działalności.
Dzięki wdrożonemu Systemowi Zarządzania Bezpieczeństwem Informacji pracownicy i partnerzy wiedzą kto i za co odpowiada oraz jak mają postępować w zakresie ochrony informacji z którą mają do czynienia. Jasno określone są odpowiedzialność, procedury i podejmowane działania. Sam proces zarządzania zawiera mechanizmy kontroli, oceny i doskonalenia funkcjonowania.
Norma ISO/IEC 27001 różni się w stosunku do innych norm ISO ponieważ oprócz samych wymagań treści głównej normy należy wdrożyć i stosować odpowiednie zabezpieczenia w zakresie bezpieczeństwa informacji zgodnie ze szczegółowo rozpisanymi wymaganiami w załączniku A do tej normy.
Niżej w załączniku A normy ISO/IEC 27001 przedstawiamy Państwu rozdziały główne i podrozdziały które określają zabezpieczenia jakie powinny być przeanalizowane i wdrożone w ogranizacji.
Kontrole bezpieczeństwa informacji wymienione w tabeli A wynikają bezpośrednio z tych wymienionych w ISO/IEC 27002:2022, rozdziały 5 do 8 i powinny być stosowane w kontekście postanowień punktu 6.1.3.
- podnosi wiarygodność i daje zapewnienie, że powierzane i przetwarzane informacje są w odpowiedni sposób chronione,
- zwiększa szanse na pozyskanie nowych rynków zbytu i klientów,
- podobnie jak stosowanie wymagań systemu ISO 9001, otwiera drogę do klientów o nieprzeciętnych wymaganiach, dla których spełnienie określonych norm jest podstawowym warunkiem do rozpoczęcia współpracy,
- zapewnia, że spełnione są obowiązkowe wymagania prawne dotyczące bezpieczeństwa informacji,
- zapewnia, że zarządzanie bezpieczeństwem informacji odbywa się w sposób sformalizowany i przewidywalny.
