Droga do sukcesu - podróż do certyfikacji ISMS

O ile organizacja nie jest bardzo nowa lub nie znajduje się na wczesnym etapie rozwoju, jest wysoce prawdopodobne, że wdrożyła już jakąś formę systemu zarządzania, taką jak kontrola jakości lub świadomość środowiskowa. Wdrożenie i uzyskanie certyfikatu Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) nie jest procesem bardzo odmiennym, ale wymaga zrozumienia zagrożeń i pułapek, które będą różne dla poszczególnych pracowników w zależności od ich roli.

W każdym systemie zarządzania potrzebna jest zachęta i przywództwo ze strony najwyższych szczebli zarządzania, nawet jeśli poszczególne osoby nie są głęboko zaangażowane w codzienną rutynę. W małej organizacji dyrektor generalny może odgrywać bardzo praktyczną rolę, ale jeśli firma jest duża i zróżnicowana, to jest prawie niemożliwe, aby jedna osoba była głęboko zaangażowana we wszystkie działania. Mimo to liderzy firmy nie mogą izolować się od procedur i muszą być postrzegani jako zainteresowani i poddający się temu samemu poziomowi zaangażowania, którego oczekują od pracowników. Mogą oni wyjaśnić zespołowi zagrożenia dla reputacji, wydajności i tym podobnych, jakie niesie ze sobą słabe zarządzanie bezpieczeństwem informacji, a także mogą być entuzjastycznymi uczestnikami dyskusji.

Przykład płynie z góry

Na początku, rolą lidera jest zdobycie zrozumienia tematu, najlepiej z pomocą pracowników wewnętrznych, a także ekspertów zewnętrznych, takich jak jednostka akredytująca. Muszą oni wiedzieć, co zastosowanie i implikacje normy będą oznaczać dla firmy i być w stanie przekazać to innym. Muszą również rozumieć, jak obecne procesy i ryzyka są identyfikowane i obsługiwane.

W przypadku zarządzania bezpieczeństwem informacji, zrozumienie będzie musiało rozpocząć się od uzyskania kopii odpowiedniej normy - ISO 27001 oraz wszelkich związanych z nią wytycznych lub dodatków. Następnie należy zebrać zespół, który zajmie się rozwojem. Podczas budowania zespołu ważne jest, aby uwzględnić wszystkie sektory pracowników i operacji.

Ze względu na swój charakter, bezpieczeństwo informacji będzie wymagało dużego wkładu i kontroli operacyjnej ze strony specjalistów IT i techników w organizacji. To oni będą w stanie najlepiej zidentyfikować obszary ryzyka i zaproponować możliwe środki i rozwiązania ochronne. W przypadku udanego cyberataku będą to również osoby, na które spadnie zadanie odbudowy systemów i przywrócenia normalnego funkcjonowania. Zespół techniczny powinien zostać poproszony o opracowanie systemu kopii zapasowych, który zwiększy bezpieczeństwo poprzez tworzenie kopii zapasowych danych w odizolowanym systemie offline, niepodatnym na oprogramowanie ransomware i podobne zagrożenia.

Prawdopodobnie będą oni postrzegać innych pracowników jako słabe ogniwo w łańcuchu bezpieczeństwa danych i do pewnego stopnia mogą mieć rację. Jednak inni pracownicy mają swoje własne zestawy umiejętności i są równie ważni dla sukcesu firmy, więc mogą potrzebować dodatkowych wskazówek, jak rozpoznawać i obsługiwać podejrzane zagrożenia cybernetyczne.

Angażowanie pracowników na każdym szczeblu

Chociaż zespół techniczny będzie miał za zadanie zbudować ramy, ważne jest, aby zrozumieć praktyki pracy i potrzeby innych działów i personelu. System, który jest tak bezpieczny jak Fort Knox, ale nie pozwala pracownikom działać jest bardziej przeszkodą dla sukcesu firmy. Ważne jest również to, że system jest tak skonstruowany, że podąża za wytycznymi dołączonymi do normy ISO, w przeciwnym razie może nie być uznany za odpowiedni do certyfikacji.

Kierownicy i pracownicy działu kontroli jakości będą chcieli się upewnić, że ISMS integruje się z innymi systemami zarządzania funkcjonującymi w organizacji. Systemy, które łączą się ze sobą, zapewniają bardziej efektywną organizację i zazwyczaj oznaczają, że czas i koszty audytów mogą zostać zredukowane, ponieważ różne systemy mogą być oceniane jednocześnie.

Części organizacji, które są bardziej skierowane do klientów i dostawców, to obszary, w których sieć informacyjna jednej organizacji może wchodzić w interakcje z siecią innej organizacji. Obszary te mogą być słabymi ogniwami, jeśli jedna z organizacji traktuje zarządzanie informacjami mniej poważnie. Pracownicy pracujący w tych obszarach mogą często znajdować się pod presją realizacji celów, a połączenie szybkiego tempa codziennej rutyny i powiązań z innymi organizacjami jest obszarem, którym należy odpowiednio zarządzać.

Zapewnienie, że system jest dostosowany do potrzeb

Budując system, należy wziąć pod uwagę jego przyszłe zarządzanie i udoskonalanie. Może to oznaczać, że nowe platformy oprogramowania mogą być korzystne, ale w każdym przypadku dokumentowanie i decydowanie o odpowiednich procesach musi być skutecznie wykonane w tym momencie. Wszyscy uczestnicy zespołu muszą współpracować w tym momencie i mogą skorzystać z pewnych szkoleń i pracy wraz z jednostką certyfikującą, aby zapewnić, że system jest odpowiedni do celu.

Kolejny krok, jakim jest rozpoczęcie wdrażania systemu, może być najtrudniejszy, ponieważ prawdopodobnie będzie wiązał się z pewnymi zmianami w praktykach pracy. Z tego powodu konieczny jest stały przegląd i ocena procesów i praktyk, a w przypadku zidentyfikowania problemów wszystkie strony muszą zdecydować, jak najlepiej je rozwiązać. Po wprowadzeniu systemu i używaniu go przez jakiś czas oraz przeprowadzeniu co najmniej jednego audytu wewnętrznego, należy rozważyć złożenie wniosku o certyfikację.

Aby ułatwić Państwu drogę do uzyskania zgodności z normą ISO 27001, proszę skorzystać z samooceny DNV, która pozwoli zrozumieć Państwa gotowość. 

Relacje biznesowe z jednostką certyfikującą/rejestratorem będą prawdopodobnie trwały przez wiele lat, ponieważ certyfikacja musi być utrzymywana. Aby mieć skuteczny system zarządzania, kluczowe jest ciągłe doskonalenie. DNV pomoże Państwu uzyskać maksymalną wartość w procesie certyfikacji dzięki partnerskiemu podejściu, audytom opartym na ryzyku oraz cyfrowym narzędziom zwiększającym efektywność i doskonalenie.

Kolejny krok do bezpiecznego ISMS

Jeśli chcesz certyfikować system zarządzania na zgodność z wymaganiami międzynarodowej normy ISO/IEC 27001 zachęcamy do skorzystania z dwóch możliwości kontaktu: 

  • Kontakt mailowy lub telefoniczny z naszym doradcą:

Michal.Bogdanowicz@dnv.com, mob: 506 288 345 

Jeśli interesuje Cię udział w szkoleniu otwartym w zakresie bezpieczeństwa informacji: