Nasz zintegrowany system zarządzania otrzymał certyfikat ISO 27001

Sierpień 21, 2015 Krzysztof Piskorski

„ISO 27001 on board”

taki był tytuł maila, który wysłał jakiś czas temu do wszystkich Tomasz Watrasa, nasz IT Quality Assurance Manager. W ten sposób skończyła się droga do ISO, którą zaczęliśmy w kwietniu ubiegłego roku.

Dla osób niezwiązanych z IT, zagrożenia systemów informatycznych kojarzą się głównie ze złośliwymi hakerami oraz lukami w oprogramowaniu. Tymczasem hardware, software i zewnętrzne ataki to tylko część problemu.

W rzeczywistości, większość incydentów zdarza się na skutek ludzkiego błędu, łamania procedur czy niedostatecznej kultury pracy. Raport „2014 Cyber Security Index”, opublikowany przez IBM, nie pozostawia wątpliwości: błędy ludzkie i organizacyjne są składnikiem 95% incydentów.

Dlatego coraz więcej firm dostrzega wartość odpowiednich procesów i wysokiej kultury biznesowej. Wiemy o tym doskonale – sami widzieliśmy, jak tradycyjne outsourcingowe biznesy skupione tylko na cenie ustępowały miejsca firmom takim jak nasza, które kładły większy nacisk na jakość i bezpieczeństwo.

To jeden z powodów, który sprawił, że postanowiliśmy pójść dalej i przeprowadzić w PGS Software certyfikację ISO 9001 oraz ISO 27001. Pierwszy certyfikat otrzymaliśmy w grudniu 2014, a drugi – niedawno.

Czym jest ISO 27001 i jakie ma znaczenie?

W skrócie to standard systemów zarządzania bezpieczeństwem informacji, zgodność z którym potwierdza certyfikat przyznany podczas niezależnego audytu. Warto dodać: standard sprawdzony w praktyce i o długiej historii.

Podstawowe komponenty ISO 27001 powstały w roku 1995, kiedy brytyjska agencja rządowa opublikowała jeden z pierwszych standardów w bezpieczeństwa IT: BS 7799. Przez lata ten zestaw reguł ewoluował, aż w końcu wszedł w skład międzynarodowego standardu ISO.

Czy zestaw reguł, który zaczęto opracowywać, gdy HTML był nowinką, a Windows NT 3.11 właśnie pojawił się na rynku, ma znaczenie dzisiaj? Tak. ISO 27001:2013 jest „technologicznie agnostyczne”. Nie wskazuje konkretnych rozwiązań hardware’owych czy software’owych. Wskazuje jak bezpiecznie zorganizować aspekty pracy takie jak:

  • Szacowanie ryzyka
  • Obsługa incydentów IT i postępowanie w sytuacjach kryzysowych
  • Polityka Teleinformatyczna
  • Ogólne zasady bezpieczeństwa
  • Polityka bezpieczeństwa fizycznego i osobowego
  • Ciągłość działania
  • Zarządzanie zmianami
  • Klasyfikacja informacji
  • Procedura wykonywania kopii zapasowych

Konkretne środki użyte w tych procesach nie mają znaczenia. Liczy się tylko rezultat: miejsce pracy, gdzie wszystkie dane są traktowane jako poufne, cenne dobro firmy, a jednocześnie są dostępne dla tych, którzy naprawdę ich potrzebują. Dzięki temu podejściu, ISO 27001 będzie miało takie samo znaczenie za dziesięć lat jak dzisiaj.

Co okazało się najtrudniejsze podczas wprowadzania naszego nowego systemu zarządzania? Zapewne polityka czystego biurka, przez która prawie stopiły się biurowe niszczarki, a osoby, które przywykły do życia w zamkach ze starych wydruków, musiały wyjść na światło dzienne.

Żarty na bok. ISO 27001 nie było przecież tylko kolejnym punktem, który ma przekonać klientów. Cały związany z nim system zarządzania powstał, żeby stworzyć lepsze miejsce pracy, gdzie wszystkie procedury są jasne i ustalone z góry, a psujące nerwy i marnujące czas incydenty pojawiają się tak rzadko, jak to tylko możliwe.

Dlatego właśnie mamy nadzieję, że nowy, certyfikowany system zarządzania zapewni nie tylko dodatkowe poczucie bezpieczeństwa dla klientów, ale wpłynie też na kulturę w firmie.

Jak ujął to Tomasz Watras: „Culture eats strategy for breakfast.”

Najnowsze wpisy