CERTYFIKACJA ISO/IEC 27001:2005

Systemy zarządzania bezpieczeństwem informacji (ISMS)

Dlaczego system bezpieczeństwa informacji ISO/IEC 27001:2013

Informacja jest dziś jednym z najważniejszych "aktywów" w firmie. Jeśli zagrożenia takie jak utrata danych, przeciek tajemnic handlowych lub awaria w systemie informacyjnym są dla ciebie ważne z punktu funkcjonowania i rozwoju firmy, rozwiązaniem może być wprowadzenie systemu zarządzania bezpieczeństwem informacji. Poprzez jego certyfikację można wykazać partnerom swoją wiarygodność w zakresie dostępu do ich systemów informatycznych lub wzajemnego udostępniania danych i informacji.

Identyfikacja zagrożeń

Uzyskanie tajnych danych przez konkurentów

Konkurencja może korzystać z bazy danych naszych kontaktów dla swoich celów. Mogą uzyskać informacje na temat cen, tajnych technologii produkcji lub instrukcji, a także informacje o naszych kluczowych pracownikach. Na podstawie ich inicjatywy powstała norma BS 7799, później zastąpiono przez ISO 27001, która rozwiązuje nie tylko problem ustanowienia zabezpieczeń systemów informacyjnych, ale także ich kontrolę, utrzymywanie i doskonalenie.

Utraty danych

Utrata bazy danych może oznaczać zagrożenie lub spowolnienie działalności firmy, poprzez wydatki odbudowę bazy klientów i tym samym utraty potencjalnych zleceń. W przypadku zagrożenia dla rachunków lub tajnych danych osobowych mogą wystąpić sankcje ze strony instytucji państwowych.

Przerwy w funkcjonowaniu firmy

Usuwanie usterek i awarie, wszystko to oznacza, że pracownicy firmy poświęcają swój czas na inne działania niż te związane bezpośrednio z działalnością firmy ( sprzedaż lub prowadzenie magazynów). Klienci rozumieją przejściowe problemy tylko wtedy, gdy występują one sporadycznie.

Gdzie mogą powstać zagrożenia bezpieczeństwa?

Czynnik ludzki

Ryzyka powstaje tam, gdzie system informacji wychodzi na zewnątrz. Nawet najlepsze rozwiązania techniczne nie są wstanie zapobiec niedbalstwu, ze strony administratora lub użytkowników systemu. ISO 27001 wprowadza system udziału kierownictwa w ocenie systemu zarządzania informacją. Jednocześnie udział członków kierownictwa w zarządzaniu systemem nie jest zbyt obciążający i wymagający, specjalizacji w zakresie systemów informatycznych.

Lokalizacja serwerów i innych nośników informacji

Mówi się, że dane są bezpieczne w urządzeniu, który nie jest podłączony do sieci. Jednak zapomina się, że ktoś może po prostu dane urządzenie podłączyć lub zabrać. ISO 27001 wprowadza odpowiednie procedury i środki, aby dane urządzenie było chronione przed uszkodzeniem lub zniszczeniem i dostępem dla nieupoważnionych osób.

Konserwacja

Systemy informatyczne wymagają regularnych kontroli, konserwacji i aktualizacji oprogramowania tak aby nie doszło do żadnej nagłej awarii systemu. Prowadzenie właściwego systemu konserwacji pozwala zmniejszyć ryzyko wystąpienia nagłych awarii.

Zagrożenia (wybór)

• Nadużycie prawa administratora • Niedbałość podczas administracji danych •Skasowanie danych • Podsłuch ważnych narad • Włamania do systemu • Instalacja obcego programu • Brak działania systemu • Kradzieże • Błędy i zaniedbania użytkowników • Wyznaczanie niewłaściwego kierunku• Awaria systemu • Klęski żywiołowe • Odszkodowania dla klientów

Słabe punkty (wybór)

• Dostęp do pomieszczenia serwera • Niewystarczająca ochrona stacji lokalnych • Niedostatek kontroli • Polityka haseł i dostępów • Dostęp osób trzecich (poddostawców) • Brak koncepcji rozwoju sprzętu komputerowego i oprogramowania • Niedocenienie podsłuchu • Niefachowa instalacja programów • Łączenie kompetencji • Niewystarczająca analiza ryzyka • Niewystarczająca kontrola przy administrowaniu danych i dostępie do informacji klientów

ANKIETA DLA ZARZĄDU (odpowiedzieć Tak – Nie)

1. Administrator systemu ma ograniczone kompetencje i monitorowany dostęp do systemu, dozwolone są jedynie najbardziej potrzebne funkcje potrzebne do skutecznej administracji. 2. Bazy danych są chronione przed nielegalnym dostępem, prawa dostępu są zarządzane a dane regularnie z wykonaniem kopii zapasowej przechowywane w bezpiecznym miejscu. 3. Polityka haseł jest określana i kontrolowana. 4. Wykonuje się regularne kontrole bezprawnego dostępu, błędów w systemie, aktualizacji programów antywirusowych i innych programów. System dopuszcza jedynie podłączenie zatwierdzonych urządzeń. 5 Kompetencje i odpowiedzialność pracowników są jednoznacznie określone i nadawane. Ich dane osobowe są należycie chronione. 6. Pomieszczenia są zabezpieczone przed dostępem niepowołanych osób, w szczególności pomieszczenia serwera i innych wrażliwych aktyw informacyjnych. 7. Zdalny dostęp do systemu informacyjnego jest dostatecznie zabezpieczony, możliwość bezprawnego dostępu bezprzewodowego jest kontrolowana. 8. Ryzyko współpracy z osobami trzecimi (poddostawcami) jest analizowane, z kolei dostęp osób trzecich do informacji kontrolowany i zarządzane. 9. Nabywanie sprzętu komputerowego i oprogramowania jest planowane i nie jest przypadkowe. Poszczególne podstawowe elementy systemów informacyjnych są nabywane po analizie ryzyka. 10. Działalność własnych pracowników przy administracji danych i informacji klientów są monitorowane i oceniane.

Jeśli na 8 z 10 pytań odpowiecie Państwo Tak, to prosimy do nas nie dzwonić.

Nośniki danych

Stosując normę ISO 27001, należy pamiętać, że nośniki danych, które chcemy chronić, nie są systemami IT i komputerami lokalnymi, ale także drukowanymi dokumentami i informacjami udostępnianymi przez ludzi przez telefon lub osobiście. Ta kwestia jest często pomijana w dzisiejszym współczesnym czasie.

ISO 17830

Standard określający bardzo szczegółowo i szczegółowe wymagania dotyczące bezpieczeństwa systemu informatycznego i ochrony danych. Nie dotyczy to jednak kontroli systemu ochrony danych. Podsumowane wymagania normy ISO 17799 zostały zawarte w załączniku, jako część normy ISO 27001.

Kontakt
+48 587 353 133
sandra.rusnarczyk

Aktualnośći
Sep 1 2018 12:00AM ISO 9001, ISO 14001

The ISO 9001: 2008 and ISO 14001: 2004 certification standards expire on September 15, 2018. Certificates and certification logos of these standards can not be used Since this date . LL-C offers a new accredited ISO 9001: 2015 or 14001: 2015 certification.

Mar 1 2013 12:00AM ERCA personnel certification

We started a project personnel certification with ERCA partner a certifcate registration under the scheme ERCA. We offer 12 fields of personnel certification.

starsze wiadomości