Wraz z dynamicznym rozwojem technologii i coraz powszechniejszymi praktykami biznesowymi, takimi jak praca zdalna, chmura obliczeniowa czy Przemysł 4.0, ryzyka związane z bezpieczeństwem informacji stają się coraz bardziej złożone i wymagają skutecznych rozwiązań. W odpowiedzi na te wyzwania zaktualizowana norma ISO 27001:2022,  przynosi nowe podejście do ochrony informacji w organizacjach. W dzisiejszym wpisie bliżej przyjrzymy się zagadnieniu zarządzania bezpieczeństwem informacji w kontekście normy ISO 27001, z uwzględnieniem najnowszych zmian wprowadzonych w 2022 roku. Przedstawimy definicję Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), omówimy kluczowe dokumenty wymagane w ramach ISO 27001 oraz przeanalizujemy znaczenie i korzyści wynikające z wdrożenia SZBI.

Co to jest informacja?

Zanim przejdziemy do dalszej części artykułu, ważne jest, aby zrozumieć, czym dokładnie jest informacja. W dzisiejszym świecie, informacja stała się jednym z najcenniejszych zasobów dla każdej organizacji. Może to być wiedza, dane, dokumenty itp. Bez względu na formę, informacja posiada swoją wartość i może być narażona na różnego rodzaju zagrożenia.

Zgodnie z normą ISO/IEC 27001:2022, informacja to „dane przetwarzane, przechowywane lub przesyłane w dowolnej formie lub formacie, które mają wartość dla organizacji”. Definicja ta odnosi się do różnych typów informacji, takich jak dane osobowe, poufne informacje biznesowe, dane finansowe, tajemnice handlowe, dane klientów, intelektualna własność i wiele innych. Może to być informacja w formie elektronicznej, papierowej, audio, video lub w innych formach. Może dotyczyć klientów, pracowników, produktów, procesów, finansów i wielu innych aspektów działalności.

Norma ISO 27001 podkreśla znaczenie ochrony tych informacji i wymaga zapewnienia ich poufności, integralności i dostępności. Organizacje są odpowiedzialne za identyfikację informacji, określenia ich wartości i ryzyka związanego z ich utratą, ujawnieniem lub naruszeniem. Dlatego też norma ISO 27001 zachęca do stosowania odpowiednich kontroli bezpieczeństwa, aby chronić wartościowe zasoby informacyjne i minimalizować ryzyko związane z ich utratą lub naruszeniem.

W kontekście zarządzania bezpieczeństwem informacji kluczowe jest uświadomienie sobie, że informacja nie jest czymś statycznym. Przepływa ona przez różne procesy, systemy i działy w organizacji. Dlatego też ochrona i zapewnienie bezpieczeństwa informacji jest się niezwykle istotne.

Co to jest norma ISO 27001?

Norma ISO 27001 to międzynarodowy standard, który definiuje  ramy i wymagania dotyczące ustanowienia, wdrożenia, monitorowania, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacji.

Struktura normy ISO 27001.

Norma ISO 27001 składa się z dwóch głównych części: części podstawowej i załącznika A. Część podstawowa określa ogólne wymagania dotyczące zarządzania bezpieczeństwem informacji, podczas gdy załącznik A zawiera cztery obszary, wpływające na bezpieczeństwo informacji, które organizacje mogą wdrożyć.

Zgodnie ze zmianami wprowadzonymi w 2022 roku są to:

• obszar zabezpieczeń organizacyjnych,
• obszar zabezpieczeń osób,
• obszar zabezpieczeń fizycznych,
• obszar zabezpieczeń technologicznych.

Czym jest system zarządzania bezpieczeństwem informacji?

System Zarządzania Bezpieczeństwem Informacji (SZBI) to kompleksowy, spójny zbiór zasad, procedur, procesów i środków technicznych, stosowanych w celu zarządzania bezpieczeństwem informacji. Celem SZBI jest zapewnienie ochrony informacji przed wszelkimi zagrożeniami, takimi jak nieuprawniony dostęp, utrata, uszkodzenie lub nieautoryzowana modyfikacja.

SZBI może być wdrażany zgodnie z różnymi standardami, takimi jak np.  ISO 27001, które dostarcza standardów i wymagań dla skutecznego zarządzania bezpieczeństwem informacji. Wdrożenie SZBI pozwala skutecznie identyfikować, oceniać i zarządzać ryzykiem związanym z bezpieczeństwem informacji.

System Zarządzania Bezpieczeństwem Informacji  a ISO 27001

Norma ISO 27001 zapewnia strukturę i ramy dla skutecznego zarządzania bezpieczeństwem informacji poprzez System Zarządzania Bezpieczeństwem Informacji. Organizacje, które dążą do certyfikacji zgodnie z ISO 27001, muszą spełnić wymagania normy, wdrożyć odpowiednie kontrole bezpieczeństwa informacji i dokumentować swoje działania.

System Zarządzania Bezpieczeństwem Informacji  oparty na ISO 27001 obejmuje szereg kluczowych etapów i działań, są to m.in.

• Polityka bezpieczeństwa
• Analiza ryzyka
• Zarządzanie ryzykiem
• Kontrole bezpieczeństwa informacji
• Ciągłe monitorowanie i doskonalenie

Wprowadzone w 2022 roku zmiany w normie ISO 27001 miały na celu aktualizację standardu, aby odzwierciedlić zmiany w środowisku cyfrowym i bardziej zaawansowane zagrożenia. Zmiany obejmują strukturalne i redakcyjne modyfikacje, wprowadzenie nowych wymagań dotyczących planowania zmian, komunikacji, ustanawiania kryteriów dla procesów operacyjnych i innych aspektów.

Dokumentacja systemu zarządzania bezpieczeństwem informacji  wg normy ISO 27001

Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji to zbiór  dokumentów i rejestrów, które są niezbędne do spełnienia wymagań ISO 27001. Głównym celem dokumentacji SZBD jest udokumentowanie podejścia organizacji do zarządzania bezpieczeństwem informacji oraz zapewnienie spójności, odpowiedzialności i śledzenia działań w zakresie bezpieczeństwa informacji.

Wymagane dokumenty i rejestracje dla normy ISO 27001 (po zmianach w 2022 roku):

• Zakres SZBI (System Zarządzania Bezpieczeństwem Informacji)
• Polityka bezpieczeństwa informacji
• Proces oceny ryzyka związany z bezpieczeństwem informacji
• Plan działań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji
• Oświadczenie o zastosowalności (patrz Załącznik A)
• Cele SZBI
• Dowody kompetencji
• Udokumentowane informacje niezbędne do zapewnienia skuteczności SZBI
• Wyniki oceny ryzyka związanego z bezpieczeństwem informacji
• Wyniki działań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji
• Wyniki monitorowania i pomiarów
• Program audytów wewnętrznych
• Wyniki audytów wewnętrznych
• Wyniki przeglądu zarządzania
• Niezgodności i wyniki działań korygujących

Dokumentacja SZBI powinna być dostosowana do indywidualnych potrzeb i specyfiki organizacji. Ważne jest również regularne przeglądanie i aktualizacja dokumentów w celu utrzymania skutecznego i zgodnego z ISO 27001 Systemu Zarządzania Bezpieczeństwem Informacji.

Bezpieczeństwo informacji — dlaczego jest tak ważne?

Organizacje z różnych sektorów i branż przechowują, przetwarzają i przesyłają ogromne ilości informacji każdego dnia. Bez właściwego zabezpieczenia istnieje ryzyko wystąpienia poważnych konsekwencji. Bezpieczeństwo informacji odnosi się do środków i działań podjętych w celu ochrony informacji przed zagrożeniami, takimi jak nieautoryzowany dostęp, utrata, zniszczenie, kradzież czy nieuprawnione ujawnienie. Zapewnienie bezpieczeństwa informacji jest niezwykle istotne, ponieważ informacje są jednym z najcenniejszych aktywów organizacji. Niewłaściwe zarządzanie bezpieczeństwem informacji może prowadzić do poważnych konsekwencji, zarówno dla organizacji, jak i dla jej klientów, partnerów biznesowych i interesariuszy.

Bezpieczeństwo informacji w kontekście Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 jest niezwykle istotne z kilku powodów:

• Ochrona poufności danych. Wiele organizacji posiada poufne informacje, takie jak dane klientów, dane finansowe, dane konkurencyjne itp. Bez odpowiednich środków ochrony, takich jak kontrola dostępu, szyfrowanie i zabezpieczenia technologiczne, istnieje ryzyko nieuprawnionego dostępu i wycieku tych informacji.
• Zapewnienie integralności danych. Oznacza to, że dane są dokładne, kompletne i niezmienione. Bez odpowiednich środków ochrony, takich jak zabezpieczenia przed modyfikacją danych, kontrola wersji i audyt, istnieje ryzyko, że dane mogą zostać sfałszowane, uszkodzone lub zmienione w sposób nieautoryzowany.
• Dostępność informacji dla uprawnionych użytkowników w odpowiednim czasie i miejscu. Ataki cybernetyczne, awarie systemów lub inne incydenty mogą zakłócić dostępność danych. Ważne jest, aby organizacje miały odpowiednie zabezpieczenia, takie jak wersja zapasowa danych, plany kontynuacji działania i redundancję systemów, aby zminimalizować zakłócenia i zapewnić ciągłość działania.
• Ochrona reputacji i zaufania organizacji. W przypadku wycieku danych, naruszeń poufności lub innych incydentów związanych z bezpieczeństwem informacji, organizacje narażają się na straty finansowe, utratę klientów i negatywny wizerunek.
• Zgodność z przepisami i regulacjami. Wiele branż i jurysdykcji reguluje bezpieczeństwo informacji poprzez przepisy i regulacje. Przykładowo, ogólne rozporządzenie o ochronie danych (RODO) w Europie wprowadza surowe wymagania dotyczące ochrony danych osobowych. Organizacje, które nie spełniają tych wymagań, mogą ponosić konsekwencje prawne i finansowe.
• Ochrona aktywów informacyjnych. SZBI oparty na ISO 27001 pozwala organizacjom identyfikować i chronić swoje aktywa informacyjne, takie jak dane, systemy informatyczne, oprogramowanie, infrastruktura sieciowa i inne zasoby. Bezpieczeństwo tych aktywów jest kluczowe dla ciągłości działania organizacji i zapobiegania stratom finansowym oraz reputacyjnym związanym z ich utratą lub uszkodzeniem.
• Zarządzanie ryzykiem. ISO 27001 wymaga, aby organizacje przeprowadzały systematyczną kontrolę, ocenę i zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Poprzez identyfikację i ocenę potencjalnych zagrożeń oraz podjęcie odpowiednich środków zapobiegawczych, organizacje mogą zminimalizować ryzyko wystąpienia incydentów bezpieczeństwa informacji, takich jak cyberataki, wycieki danych lub awarie systemowe.
• Większe zaufanie klientów i kontrahentów. Certyfikacja ISO 27001 stanowi niezależne potwierdzenie, że organizacja posiada skuteczne środki ochrony informacji. Dla wielu klientów, partnerów biznesowych i innych interesariuszy, posiadanie certyfikatu ISO 27001 jest dowodem na to, że organizacja poważnie traktuje bezpieczeństwo informacji i przestrzega międzynarodowych standardów. To z kolei wzmacnia zaufanie i pozytywny wizerunek organizacji.
• Ciągłe doskonalenie. SZBI zgodny z ISO 27001 opiera się na zasadzie ciągłego doskonalenia. Organizacje muszą regularnie monitorować, oceniać i doskonalić swoje praktyki związane z bezpieczeństwem informacji. Dzięki temu procesowi organizacje mogą dostosowywać się do zmieniających się zagrożeń, technologii i wymagań, zapewniając ciągłe podnoszenie poziomu bezpieczeństwa informacji.

Zagrożenia bezpieczeństwa informacji

W erze cyfrowej, w której informacje są przechowywane, przetwarzane i przesyłane w sposób powszechny, istnieje wiele różnych zagrożeń, które mogą zagrażać bezpieczeństwu informacji. Zrozumienie tych zagrożeń jest kluczowe dla skutecznego zarządzania bezpieczeństwem informacji i ochrony przed potencjalnymi szkodami. Zagrożenia te mogą prowadzić do utraty poufności danych, naruszenia integralności informacji, przerw w dostępności systemów oraz szkód finansowych i reputacyjnych.

Oto niektóre z głównych zagrożeń bezpieczeństwa informacji:

• Ataki hakerskie. Hakerzy i cyberprzestępcy stale poszukują sposobów na nieuprawniony dostęp do informacji. Mogą wykorzystywać różne metody, takie jak phishing, malware, ransomware czy ataki DDoS, aby przejąć kontrolę nad systemami informatycznymi i uzyskać wrażliwe dane.
• Wewnętrzne zagrożenia. Często zagrożeniem dla bezpieczeństwa informacji są również pracownicy organizacji. Nieumyślne działania lub celowe działania nieuczciwych pracowników mogą prowadzić do wycieku informacji, naruszenia poufności czy manipulacji danymi.
• Utrata lub kradzież urządzeń. Utrata lub kradzież urządzeń przenośnych, takich jak smartfony, tablety czy laptopy, może prowadzić do nieautoryzowanego dostępu do informacji. Jeśli takie urządzenia nie są zabezpieczone odpowiednimi mechanizmami, dane mogą trafić w niepowołane ręce.
• Brak odpowiednich zabezpieczeń fizycznych. Niewłaściwe zabezpieczenia, takie jak brak zamka zabezpieczającego, brak monitoringu czy niezabezpieczone serwerownie, mogą umożliwić nieautoryzowany dostęp do systemów i danych.
• Błędy i niezgodności. Często zagrożeniem dla bezpieczeństwa informacji są również błędy ludzkie, niezgodności z procedurami czy niedostateczne szkolenie pracowników. To może prowadzić do nieprawidłowego przetwarzania informacji, utraty danych czy naruszenia poufności.
• Katastrofy i awarie. Zarządzanie bezpieczeństwem informacji musi uwzględniać również ryzyko wystąpienia katastrof naturalnych, awarii systemów czy incydentów (związanych np. z pracą zdalną w domu), które mogą wpływać na dostępność i integralność informacji.

Wszystkie te zagrożenia podkreślają potrzebę skutecznego zarządzania bezpieczeństwem informacji w organizacji. Implementacja odpowiednich środków ochrony i kontroli, zgodnie z normą ISO 27001, pozwala organizacjom identyfikować, oceniać i minimalizować ryzyko wystąpienia tych zagrożeń, chroniąc w ten sposób informacje i zapewniając ciągłość działania.

Należy mieć świadomość, że zagrożenia te zmieniają się bardzo dynamicznie, a wraz z rozwojem technologii, zmianą pracy na zdalną, pojawiają się także nowe metody łamania zabezpieczeń.  Wprowadzone zmiany w normie ISO 27001:2022 uwzględniają ewolucję praktyk biznesowych, tak aby organizacje mogły skutecznie radzić sobie z zaawansowanymi zagrożeniami bezpieczeństwa i utrzymywać przewagę konkurencyjną w dynamicznym środowisku cyfrowym.