Co to jest norma ISO 27001 i dlaczego jest tak ważna dla organizacji?

clock 5m 37s

Informacje są dzisiaj jednymi z najcenniejszych aktywów firm i organizacji. Dlatego dbanie o ich bezpieczeństwo powinno być priorytetem każdego przedsiębiorstwa, niezależnie od jego wielkości i sektora, w którym działa. Gwarancję najlepszych metod ochrony zasobów informacyjnych daje wdrożenie normy ISO 27001. Czym dokładnie jest ta norma i dlaczego potrzebna jest organizacji?

Zdecydowana większość firm posiada mechanizmy kontroli, dzięki którym może zapewnić swoich klientów i partnerów biznesowych, że odpowiednio zarządza bezpieczeństwem informacji. Jednak o realnie działającym i świadomym zarządzaniu aktywami informacyjnymi, możemy mówić tylko wtedy, gdy kontrole te nie są przypadkowe i realizowane są z rzeczywistym zamiarem ochrony zasobów informacyjnych.

Wdrożenie normy ISO/IEC 27001 gwarantuje, że organizacja zidentyfikowała zagrożenia i wprowadziła odpowiednie środki zapobiegawcze w celu ochrony przed naruszeniami bezpieczeństwa.

Co to jest ISO 27001?

Norma ISO 27001 (lub ISO/IEC 27001) to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI). Norma ta określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Ponadto zawiera wytyczne dotyczące szacowania i postępowania z ryzykiem związanym z bezpieczeństwem informacji.

Firmy i organizacje, które deklarują wdrożenie normy, mogą zostać poddane audytowi, a następnie uzyskać certyfikację na zgodności z normą. Z kolei osoba fizyczna po ukończeniu odpowiedniego kursu, może zdobyć certyfikat potwierdzający znajomość normy i np. zostać certyfikowanym audytorem w firmie.

Norma ISO 27001 definicja

Czym jest system zarządzania bezpieczeństwem informacji?

System zarządzania bezpieczeństwem informacji (SZBI) zgodnie z ISO/IEC 27000 to „zbiór polityk, procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez organizację w celu ochronnych swoich zasobów informacyjnych”.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

Historia oraz aktualna wersja normy

Norma ISO/IEC 27001 została opublikowana 14 października 2005 roku przez Międzynarodową Organizację Normalizacyjną ISO (International Organization for Standardization). Odpowiednio dostosowana do innych standardów międzynarodowych zastąpiła normę BS 7799-2.

W Polsce normę opublikowano 4 stycznia 2007 roku jako PN-ISO/IEC 27001:2007. Wówczas norma ta zastąpiła PN-I-07799-2:2005, czyli polski odpowiednik brytyjskiego standardu BS 7799-2. Następnie, 2 grudnia 2014 roku w miejsce normy PN-ISO/IEC 27001:2007, pojawiła się nowa norma PN-ISO/IEC 27001:2014-12.

Obecnie aktualną polską wersją normy jest PN-EN ISO/IEC 27001:2017-06 z 10 stycznia 2018 roku.

Dostęp do normy

Polską wersję normy ISO 27001 można kupić na stronie PKN – Polskiego Komitetu Normalizacyjnego (dokładnie tutaj). Treść normy dostępna jest w kilku formach: pliku pdf, na płycie CD, w wersji papierowej oraz w czytelni online (wówczas czas na przeczytanie normy wynosi 30 minut).

Czym jest certyfikat ISO 27001?

Certyfikat ISO 27001 to poświadczenie, że organizacja spełnia wymagania tej normy i jest w pełni z nią zgodna. Firma może ubiegać się o certyfikat, zapraszając akredytowaną jednostkę certyfikującą do przeprowadzenia audytu certyfikacyjnego, który – jeśli skończy się pomyślnie – jest podstawą do wydania owego poświadczenia. Certyfikat jest ważny przez trzy lata.

Certyfikat ISO 27001 definicja

Obszary normy ISO 27001

W załączniku A normy wyróżniono jedenaście obszarów, wpływających na bezpieczeństwo informacji. Są to:

  1. polityka bezpieczeństwa,
  2. organizacja bezpieczeństwa informacji,
  3. zarządzanie aktywami,
  4. bezpieczeństwo zasobów ludzkich,
  5. bezpieczeństwo fizyczne i środowiskowe,
  6. zarządzanie systemami i sieciami,
  7. kontrola dostępu,
  8. zarządzanie ciągłością działania,
  9. pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
  10. zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  11. zgodność z wymaganiami prawnymi i własnymi standardami.

Korzyści z wdrożenia normy dla firm

Najważniejsze korzyści z wdrożenia ISO 27001 i/lub uzyskania certyfikacji na zgodność z normą to:

  • zapewnienie, że aktywa informacyjna są odpowiednio chronione,
  • zachowanie prywatności i integralności danych,
  • wzrost świadomości dotyczącej zagrożeń i konieczności stosowania odpowiednich zabezpieczeń wśród pracowników,
  • wzmocnienie odporności organizacji na incydenty,
  • nadzór nad procesami przetwarzania informacji,
  • pomoc w zdefiniowaniu ról i obowiązków związanych z przetwarzaniem informacji,
  • spełnienie wymagań prawnych i oczekiwań klientów, kontrahentów oraz partnerów biznesowych,
  • podniesienie jakości usług i zwiększenie wiarygodności oraz zaufania klientów,
  • uniknięcie strat finansowych wynikających z naruszenia bezpieczeństwa,
  • wzrost konkurencyjności na rynku.

Ile kosztuje wdrożenie ISO 27001 w organizacji?

Koszty wdrożenia i certyfikacji warunkuje wielkość oraz złożoności zakresu SZBI, który różni się w zależności od organizacji.

Rozwój zawodowy a certyfikat ISO, czyli jak zostać audytorem?

Norma ISO 27001 nie tylko odgrywa ważną rolę w procesie zarządzania bezpieczeństwem informacji w organizacjach. Norma ta jest również istotna dla osób fizycznych, chcących poszerzać umiejętności w zakresie bezpieczeństwa i ochrony informacji.

Dzięki odpowiednim szkoleniom oraz zdaniu egzaminu można uzyskać certyfikat potwierdzający znajomość normy i np. zostać audytorem wewnętrznym w firmie lub audytorem w jednostkach certyfikujących. Warto w tym celu wybrać takie szkolenie, którego ukończenie gwarantuje uzyskanie rozpoznawalnej i cenionej na całym świecie certyfikacji np. certyfikowane szkolenia PECB.

Przeczytaj również: Co daje certyfikat PECB i jak go zdobyć? Wszystko o certyfikacji i szkoleniach PECB

Najpopularniejsze certyfikowane szkolenia PECB dotyczące normy ISO 27001 to:

  • Foundation – szkolenie dla osób chcących poznać podstawy normy oraz główne etapy wdrożenia;
  • Lead Implementer – szkolenie dla zaawansowanych praktyków i konsultantów;
  • Lead Auditor – szkolenie dla audytorów w jednostkach certyfikujących i konsultantów oraz osób, które będą przeprowadzały audyty wewnętrzne w firmie.

ISO 27001 szkolenie zawodowe

Standard ISO 27001 to zawsze korzyści

Wdrożenie w organizacji ISO 27001 – czy to jako narzędzie wsparcia w zarządzaniu bezpieczeństwem informacji, czy jako przygotowanie do certyfikacji – zawsze przynosi firmie korzyści. Świadczy o jej profesjonalizmie, wzmacnia wizerunek i konkurencyjność, a przede wszystkim zapewnienia, że aktywa informacyjna są odpowiednio chronione.

Z kolei dla osoby fizycznej certyfikat znajomości normy może być przepustką do znalezienia lepszej pracy i wyższych zarobków. Dlatego procesy związane z normami ISO – zarówno to realizowane przez osoby fizyczne, jak i przedsiębiorstwa – warto przeprowadzać pod okiem doświadczonych specjalistów.

Szukasz wsparcia z zakresu normy ISO 27001? W ramach naszych usług oferujemy:

Chcesz wiedzieć więcej? Napisz do nas: kontakt@resilia.pl

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.