CERTYFIKACJA ISO/IEC 27001:2005

Systemy zarządzania bezpieczeństwem informacji (ISMS)

Dlaczego system bezpieczeństwa informacji ISO/IEC 27001:2013

Informacja jest dziś jednym z najważniejszych "aktywów" w firmie. Jeśli zagrożenia takie jak utrata danych, przeciek tajemnic handlowych lub awaria w systemie informacyjnym są dla ciebie ważne z punktu funkcjonowania i rozwoju firmy, rozwiązaniem może być wprowadzenie systemu zarządzania bezpieczeństwem informacji. Poprzez jego certyfikację można wykazać partnerom swoją wiarygodność w zakresie dostępu do ich systemów informatycznych lub wzajemnego udostępniania danych i informacji.

Identyfikacja zagrożeń

Uzyskanie tajnych danych przez konkurentów.

Konkurencja może korzystać z bazy danych naszych kontaktów dla swoich celów. Mogą uzyskać informacje na temat cen, tajnych technologii produkcji lub instrukcji, a także informacje o naszych kluczowych pracownikach. Na podstawie ich inicjatywy powstała norma BS 7799, później zastąpiono przez ISO 27001, która rozwiązuje nie tylko problem ustanowienia zabezpieczeń systemów informacyjnych, ale także ich kontrolę, utrzymywanie i doskonalenie.

Utraty danych.

Utrata bazy danych może oznaczać zagrożenie lub spowolnienie działalności firmy, poprzez wydatki odbudowę bazy klientów i tym samym utraty potencjalnych zleceń. W przypadku zagrożenia dla rachunków lub tajnych danych osobowych mogą wystąpić sankcje ze strony instytucji państwowych.

Przerwy w funkcjonowaniu firmy.

Usuwanie usterek i awarie, wszystko to oznacza, że pracownicy firmy poświęcają swój czas na inne działania niż te związane bezpośrednio z działalnością firmy ( sprzedaż lub prowadzenie magazynów). Klienci rozumieją przejściowe problemy tylko wtedy, gdy występują one sporadycznie.

Gdzie mogą powstać zagrożenia bezpieczeństwa?

Czynnik ludzki.

Ryzyka powstaje tam, gdzie system informacji wychodzi na zewnątrz. Nawet najlepsze rozwiązania techniczne nie są wstanie zapobiec niedbalstwu, ze strony administratora lub użytkowników systemu. ISO 27001 wprowadza system udziału kierownictwa w ocenie systemu zarządzania informacją. Jednocześnie udział członków kierownictwa w zarządzaniu systemem nie jest zbyt obciążający i wymagający, specjalizacji w zakresie systemów informatycznych.

Lokalizacja serwerów i innych nośników informacji.

Mówi się, że dane są bezpieczne w urządzeniu, który nie jest podłączony do sieci. Jednak zapomina się, że ktoś może po prostu dane urządzenie podłączyć lub zabrać. ISO 27001 wprowadza odpowiednie procedury i środki, aby dane urządzenie było chronione przed uszkodzeniem lub zniszczeniem i dostępem dla nieupoważnionych osób.

Konserwacja.

Systemy informatyczne wymagają regularnych kontroli, konserwacji i aktualizacji oprogramowania tak aby nie doszło do żadnej nagłej awarii systemu. Prowadzenie właściwego systemu konserwacji pozwala zmniejszyć ryzyko wystąpienia nagłych awarii.

Zagrożenia (wybór)

• Nadużycie prawa administratora • Niedbałość podczas administracji danych •Skasowanie danych • Podsłuch ważnych narad • Włamania do systemu • Instalacja obcego programu • Brak działania systemu • Kradzieże • Błędy i zaniedbania użytkowników • Wyznaczanie niewłaściwego kierunku• Awaria systemu • Klęski żywiołowe • Odszkodowania dla klientów

Słabe punkty (wybór)

• Dostęp do pomieszczenia serwera • Niewystarczająca ochrona stacji lokalnych • Niedostatek kontroli • Polityka haseł i dostępów • Dostęp osób trzecich (poddostawców) • Brak koncepcji rozwoju sprzętu komputerowego i oprogramowania • Niedocenienie podsłuchu • Niefachowa instalacja programów • Łączenie kompetencji • Niewystarczająca analiza ryzyka • Niewystarczająca kontrola przy administrowaniu danych i dostępie do informacji klientów

ANKIETA DLA ZARZĄDU (odpowiedzieć Tak – Nie)

1. Administrator systemu ma ograniczone kompetencje i monitorowany dostęp do systemu, dozwolone są jedynie najbardziej potrzebne funkcje potrzebne do skutecznej administracji. 2. Bazy danych są chronione przed nielegalnym dostępem, prawa dostępu są zarządzane a dane regularnie z wykonaniem kopii zapasowej przechowywane w bezpiecznym miejscu. 3. Polityka haseł jest określana i kontrolowana. 4. Wykonuje się regularne kontrole bezprawnego dostępu, błędów w systemie, aktualizacji programów antywirusowych i innych programów. System dopuszcza jedynie podłączenie zatwierdzonych urządzeń. 5 Kompetencje i odpowiedzialność pracowników są jednoznacznie określone i nadawane. Ich dane osobowe są należycie chronione. 6. Pomieszczenia są zabezpieczone przed dostępem niepowołanych osób, w szczególności pomieszczenia serwera i innych wrażliwych aktyw informacyjnych. 7. Zdalny dostęp do systemu informacyjnego jest dostatecznie zabezpieczony, możliwość bezprawnego dostępu bezprzewodowego jest kontrolowana. 8. Ryzyko współpracy z osobami trzecimi (poddostawcami) jest analizowane, z kolei dostęp osób trzecich do informacji kontrolowany i zarządzane. 9. Nabywanie sprzętu komputerowego i oprogramowania jest planowane i nie jest przypadkowe. Poszczególne podstawowe elementy systemów informacyjnych są nabywane po analizie ryzyka. 10. Działalność własnych pracowników przy administracji danych i informacji klientów są monitorowane i oceniane.

Jeśli na 8 z 10 pytań odpowiecie Państwo Tak, to prosimy do nas nie dzwonić.

Data carriers

When applying the standard ISO 27001, it is necessary to keep in mind that data carriers we wish to protect are not IT systems and local computers only, but also printed documents and the information shared by people over the phone or in person. This matter is often neglected in today’s contemporary time.

ISO 17830

A standard defining very detail and specific requirements for information system security and data protection. It however does not deal with the control of the data protection system. Summarised requirements of ISO 17799 standard have been included in Annex A as part of the standard ISO 27001.

Kontakt
+48 (58) 73 53 133
ll-c.prihara

Aktualnośći
Sep 1 2018 12:00AM ISO 9001, ISO 14001

The ISO 9001: 2008 and ISO 14001: 2004 certification standards expire on September 15, 2018. Certificates and certification logos of these standards can not be used Since this date . LL-C offers a new accredited ISO 9001: 2015 or 14001: 2015 certification.

Mar 1 2013 12:00AM ERCA personnel certification

We started a project personnel certification with ERCA partner a certifcate registration under the scheme ERCA. We offer 12 fields of personnel certification.

starsze wiadomości