Certyfikacja ISO 27001
Informacja to jedno z ważniejszych aktyw firmy, bez których nie da się dziś skonstruować właściwie żadnego biznesu. Choć o bezpieczeństwie informacji mówi się dziś głównie pod kątem danych klientów oraz poufnych danych firmy, informację może stanowić właściwie wszystko – przekazywane ustnie plany, konkretne schematy działań na poszczególnych stanowiskach pracy, czy wewnętrzna polityka działania w wypadku incydentów. Pewne jest jedno – w dobie komputeryzacji i informatyzacji, dbałość o bezpieczeństwo informacji ma jeszcze większe znaczenie i stawia jeszcze więcej wyzwań. Firmy chcące mieć je pod kontrolą wybierają systemy zarządzania oparte o normę ISO 27001. Jakie są jej założenia, jak przebiega proces certyfikacji i czym zajmuje się w całym procesie audytor wewnętrzny?
Norma ISO 27001 – podstawowe założenia
Procesowe podejście do kwestii ustanawiania, wdrażania, prowadzenia, monitorowania i doskonalenia systemów zarządzania to standard promowany przez normy Międzynarodowej Organizacji Normalizacyjnej niezależnie od obszaru, na jakim się skupiają. ISO 27001, harmonijna z innymi normami organizacji może być z powodzeniem wdrożona do istniejących już systemów zarządzania, funkcjonując z nimi spójnie i bez zarzutów.
Założenia normy ISO 27001 opierają się na wymogach proponowanych wcześniej przez standard BS 7799, wzbogacając jednak metodykę tworzenia systemów zarządzania bezpieczeństwem informacji o nowe mechanizmy nadzoru takie jak dokładniejsze pomiary bezpieczeństwa informacji czy lepsze strategie zarządzania incydentami. Norma wykorzystuje także standardy ISO 17799:2005 i ISO/IEC TR 18044:2004, jak i „Wytyczne OECD dotyczące bezpieczeństwa systemów i sieci informatycznych – w stronę kultury bezpieczeństwa”, stanowiąc tym samym jeden z najbardziej kompleksowych zbiorów wytycznych dla systemów zarządzania.
Wśród jej założeń można wymienić więc szczególny nacisk na zarządzanie ryzykiem, mocny akcent na zaangażowanie najwyższych szczebli kierownictwa oraz ciągłe doskonalenie procesów systemu zarządzania bezpieczeństwem informacji w zgodzie z postępującymi technologiami i wiecznie zmieniającą się pulą zagrożeń. Norma zaleca oczywiście stosowanie cyklu Deminga, czyli modelu procesowego Planuj-Wykonaj-Sprawdź-Działaj, usprawniającego dążenie do wszystkich wspomnianych wyżej celów.
Rola audytora wewnętrznego w procesie certyfikacji
Audytor wewnętrzny to często postać, której obawiają się wszyscy pracownicy firmy, kojarząca się z kontrolami, poszukiwaniem błędów i generalnym czepialstwem. W rzeczywistości jednak regularne poddawanie się audytom wewnętrznym i obsadzenie na tej pozycji osoby przeszkolonej, która doskonale zna zagadnienia związane z normą i specyfikę pracy audytu może wyjść każdej firmie na dobre. Podobnie jak audyt wstępny, który służy jako swoista analiza luk przygotowująca obecny system zarządzania bezpieczeństwem informacji firmy do kluczowych zmian przybliżających go do standardów ISO 27001, audyty wewnętrzne to sposób na kontrolowanie ewentualnych niedociągnięć i wyciąganie na ich podstawie wniosków prowadzących do ciągłego doskonalenia się. Audytor wewnętrzny jest nie tylko kontrolerem, ale i doradcą, który z pełnym zaangażowaniem, ale też bezstronnością, wspiera firmę w dążeniu do utrzymania certyfikatu ISO 27001 dla swojego systemu zarządzania.
Aby audytor mógł wykonywać swoją pracę w pełni świadomie i rzetelnie, instytucje i firmy zajmujące się certyfikacją ISO oferują także wszelkiego rodzaju szkolenia ISO 27001 dla audytorów zainteresowanych tego rodzaju działalnością w obrębie firmy. To dzięki szkoleniom mają oni szansę poznać wszystkie tajniki pracy audytora, łącznie z szczegółowymi zasadami wyznaczanymi przez standard i sposobami ich interpretacji w danej sytuacji. Audytor wewnętrzny musi wykazać się ogromną wiedzą i niejednokrotnie doświadczeniem w kwestii prowadzenia dokumentacji, sporządzania raportów i przeprowadzania audytów w środowisku, które zna na co dzień. Ostatecznie to przecież jego analiza będzie podstawą do dalszych działań firmy przygotowujących ją do certyfikacji ISO 27001. Co więcej, sami audytorzy mogą przystąpić do specjalnego egzaminu przygotowanego i zaakceptowanego przez IRCA, zakończonego uzyskaniem certyfikatu audytora wewnętrznego ISO 27001.
Certyfikacja ISO 27001 to krok w bezpieczną przyszłość informacji, o którą zadbać powinny dziś firmy nie tylko ze spektrum branży IT. W dobie niezwykle konkurencyjnego rynku i ciągłej rywalizacji o wyższą pozycję, zdobywanie coraz to lepszych metod działania i zaufania klientów w postaci dokumentów takich jak certyfikat wydaje się być jedynym słusznym rozwiązaniem. Wszelkie szkolenia ISO 27001 przygotowujące audytorów, pracowników i zarząd do wdrożenia normy w firmie to tylko początek drogi do lepszego bezpieczeństwa informacji.