Z każdym kolejnym dniem rozwój informacyjny idzie naprzód. Tym samym rosną także zagrożenia internetowe, a wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) ISO/IEC 27001 staje się bardzo ważnym obowiązkiem dla każdej nowoczesnej firmy, która zamierza startować w obfitych w dane przetargach.
Ważne: Certyfikat ISO 27001 nie świadczy o tym, że Twoja firma nigdy nie będzie ofiarą cyberataku. Świadczy natomiast o tym, że posiada najlepsze światowe praktyki gotowości organizacyjnej i zarządza bezpieczeństwem ryzyk na bieżąco, z poprawnymi procedurami awaryjnymi w tle.
Zrozumienie aktualnych wymagań
Do 2025 roku całe standardy kontroli uległy konsolidacji, sprowadzając starą listę ponad 114 zabezpieczeń z załącznika A na 93 pozycje, tymczasem kładąc nieporównywalnie dużo większy nacisk na Threat Intelligence – ujęte również w dyrektywach w rodzaju NIS2 – jak i bezpieczny użytek środowisk typu cloud.
Oto ogólny zarys całego procesu na pierwsze dni wdrażania SZBI we własnych szeregach:
- Zaangażowanie najwyższego kierownictwa: Żaden certyfikat i zarządzenia procedur typu „czyste biurko” nie przetrwają bez przykładu od liderów biznesowych (zarządu). Poparcie projektu jest kluczowym założeniem normy ISO (rozdz. 5).
- Analiza Ryzyka i Definiowanie Zakresu SZBI: Rozpoczęcie audytu od inwentaryzacji procesów, pod kątem wpływu ich zaboru na finanse firmy oraz szacowanie poziomu krytyczności na dane zdarzenia. Certyfikat może np. wykluczyć fizyczny obiekt wirtualnych data center o ile odpowiednio uargumentowany jest wpływ stron 3. procesorów na całą firmę – musi to podlegać umowom SLA i umowom outsourcingu IT (Załącznik A – 5.21 oraz 5.22).
- Procedury, Dokumentacja i Regulaminy Szkoleniowe: System musi narzucić odpowiednie polityki bezpieczeństwa: od fizycznych i organizacyjnych po technologiczne, popierając wszystko audytem szkoleniowym i regularnym uświadamianiem całej załogi pracowniczej dot. cyberhigieny (phishingu, wrogiej analizy itp.).