Jednym z wiodących standardów w obszarze bezpieczeństwa informacji jest norma ISO/IEC 27001. Organizacje, które zdecydują się przejść przez proces wdrożenia i certyfikacji zapewniają sobie także zgodność z innymi wymogami prawnymi, w tym także tymi dotyczącymi ochrony danych osobowych. Bez względu na obszar certyfikacji każdy podmiot musi wdrożyć odpowiednie polityki, procedury, środki kontrolne dla ochrony poufności, dostępności i integralności przetwarzanych informacji. Wymagania normy ISO 27001 pokrywają w całości wymagania RODO dotyczące zapewnienie poufności, dostępności oraz integralności przetwarzanych danych.
Czym jest SZBI
SZBI czyli System Zarządzania Bezpieczeństwa Informacji to zbiór polityk, procedur i instrukcji dotyczących procesu zarządzania bezpieczeństwem informacji. Głównym elementem systemu jest Polityka Bezpieczeństwa Informacji, która musi pokrywać 10 podstawowych punktów normy ISO. Jako uzupełnienie podstawowych punktów konieczne jest także spełnienie wymagań dla ponad 100 zabezpieczeń znajdujących się w Załączniku A (tzw. normatywnym).
Najważniejsze punkty normy dotyczą: Zdefiniowania kontekstu organizacji, określenie roli przywództwa, planowania, wsparcia, działań operacyjnych, oceny efektów działania oraz doskonalenia. Warto zaznaczyć, że powyższe punkty określają w sposób ogólny wymagania jakie powinna spełnić organizacja, która chce uzyskać certyfikat zgodności. Dlatego „załącznik normatywny” określa w sposób szczególny jakie konkretne zabezpieczenia dotyczą jakich punktów, np.: Punkty 6.1.2, 8.2 i 8.3 normy opisują wymogi dotyczące procesu szacowania, zarządzania i postępowania z ryzykiem, a załącznik A dodatkowo definiuje zabezpieczenia definiujące dodatkowo, że taki proces powinien dotyczyć także bezpieczeństwa informacji związanych z łańcuchem dostaw produktów i usług ICT oraz samego procesu relacji z dostawcami.
Powyższy przykład pokazuje zgodność z wymogami RODO i art. 25 czyli zasady ochrony danych w fazie projektowania, która była jednym z kluczowych zmian w podejściu do bezpieczeństwa informacji. Chodzi o zasadę wdrożenia środków bezpieczeństwa na etapie tworzenia systemu/procesu, a nie dopiero po jego wdrożeniu w organizacji. Zabezpieczenie związane z łańcuchem dostaw jest tożsame z wymaganiami RODO dotyczącymi „audytu procesorów”.
Zgodność z wymogami prawa
Z uwagi na wielowarstwowy proces certyfikacji organizacja, która posiada wdrożoną normę ma pewność, że podczas audytu zewnętrznego zostaną zweryfikowane także inne wymogi prawne, który powinna podlegać. Bardzo dobrym przykładem jest weryfikacja zgodności z wymogami, np. ustawy o ochronie sygnalistów, czy regulacji dotyczących pracy zdalnej. Konstrukcja normy i sam proces certyfikacji weryfikuje wszelkie braki formalno-prawne w organizacji.
Audyt certyfikujący
Ostatnim krokiem jest zewnętrzny audyt wykonywany przez uprawnioną jednostkę certyfikującą. Składa się on z dwóch etapów. W etapie pierwszym audytorzy weryfikują udostępnioną dokumentację oraz poszukują dowodów wskazujących na fakt, że wdrożone SZBI spełnia podstawowe wymagania normy. W skrajnym przypadku, gdy procedury zawierają bardzo duże braki lub niezgodności może nastąpić zatrzymanie dalszego procesu certyfikacji. W etapie drugim audytorzy poszukują dowodów potwierdzających praktyczną implementację SZBI w organizacji. Najczęściej wykonywany jest także audyt stacjonarny podczas, którego weryfikowane są w praktyce, np.: zabezpieczenia stacji roboczych, zasady fizycznej kontroli dostępu wejścia na teren organizacji, zasady dotyczące osób odwiedzających ale także świadomość pracowników w obszarze znajomości procedur i praktycznego ich stosowania.
Po zakończonym audycie organizacja otrzymuje zazwyczaj certyfikat na 3 lata. W trakcie tego okresu organizacja musi regularnie przeprowadzać audyty wewnętrzne oraz być poddawana audytom zewnętrznym przeprowadzanym przez jednostkę certyfikującą (raz w roku).
Po zakończeniu 3-letniego okresu ważności certyfikatu, organizacja musi ubiegać się o recertyfikację, która również wiąże się z audytem w celu potwierdzenia, że system zarządzania jest nadal skuteczny i zgodny z wymaganiami normy. W przypadku pozytywnego wyniku audytu, certyfikat może zostać przedłużony na kolejny okres. Regularne przeglądy i doskonalenie systemu są kluczowe dla utrzymania certyfikacji oraz zapewnienia zgodności z normą.
Czy dostawcy usług muszą wdrożyć normę ISO 27001?
Obecnie nie ma wymogów prawnych nakazujących wdrożenie normy, jednak certyfikat ISO 27001 może być wymagany przez niektóre branże, klientów lub kontrahentów, jako część wymogów umownych czy standardów branżowych. Na przykład, wiele organizacji w sektorze finansowym, zdrowotnym oraz technologii informacyjnej oczekuje od dostawców wdrożenia takich systemów zabezpieczeń. W związku ze zbliżającymi się nowymi regulacjami europejskimi czyli NIS2 i DORA szacuje się, że posiadanie takiego certyfikatu stanie się w niedługim czasie wymogiem formalnym – głównie dlatego, że certyfikat daje pewność o regularności audytów wewnętrznych i zewnętrznych w obszarze bezpieczeństwa informacji.