W artykule przybliżę czym jest norma ISO27001, dlaczego wdrożyliśmy ją w Support Online, a także jakie korzyści przyniosło naszej firmie jej wprowadzenie.
Co to jest ISO 27001?
ISO27001 jest międzynarodową normą. Została stworzona do stosowania w organizacjach jako podstawa wyboru zabezpieczeń w ramach wdrażania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). ISO27001 zwraca uwagę na procesy działające w firmie i interakcje z jej otoczeniem. Szczególny nacisk stawia na zagrożenia bezpieczeństwa informacji i możliwości doskonalenia się w tym zakresie. Poprzez opracowanie, udokumentowanie, wdrożenie i kontrolowanie polityki zabezpieczeń, przedsiębiorstwo odkrywa siebie na nowo i ulepsza swoje procesy. Ciągłe usprawnianie organizacji jest jednym z założeń ISO 27001. Dokumenty, procedury poddawane są okresowej weryfikacji, ocenie skuteczności i możliwości doskonalenia.
Kto wdraża – kto chce, kto musi?
Każda firma może wdrożyć u siebie ISO27001. Będzie to organizacja, która chce zapanować nad swoimi mechanizmami, ustandaryzować je, monitorować i poddawać zewnętrznemu audytowi. Firma, która chce mieć pewność, że na każdym kroku zachowane jest bezpieczeństwo danych. Ma to tym większe znaczenie, że obecnie obowiązuje ustawa o ochronie danych osobowych – RODO, która jest ściśle związana z bezpieczeństwem informacji. Wdrożenie ISO27001 nie jest jednak jednoznaczne ze spełnieniem wymogów RODO, ale na pewno pomocne. Norma ISO nie narzuca zbioru zabezpieczeń do wykorzystania, proponuje proces, według którego powinna postępować firma w opracowaniu własnych rozwiązań i ich monitorowaniu.
Dlaczego Support Online zdecydowało się na wdrożenie ISO 27001?
Poniżej dowiesz się, co Support Online udało się osiągnąć, jednak pamiętaj, że firma stale rozwija się razem z normą ISO. Proces doskonalenia, monitorowania i zmian jest ciągły.
Sprawy organizacyjne
Nasza firma miała wcześniej przygotowane procedury dotyczące większości aspektów jej działania. Proces przygotowywania do wdrażania ISO był więc ułatwiony. Pozwolił jednak na analizę firmy od podszewki i prześwietlenie każdego punktu.
Zaufanie klientów
Wnioski wyciągane ze sposobu działania, szans i zagrożeń, przenosimy na płaszczyznę współpracy z klientami. Wychodzimy z inicjatywą, mając na uwadze dobro naszych współpracowników i bezpieczeństwo ich danych. Dzięki temu zyskujemy większe zaufanie klientów. Sami przeprowadzamy audyt na podstawie wypracowanych procedur. Wdrażamy między innymi:
- właściwą politykę backupu;
Więcej w artykule: https://www.support-online.pl/kopie-zapasowe-jak-to-zaplanowac/
- Active Directory, wielokrotne uwierzytelnianie (MFA), Intune;
- szyfrowanie dysków.
Ujednolicenie procesów
Procedury i rutyny można stworzyć, ale nie będą one działać prawidłowo bez pełnego obrazu procesów firmy. Zakres odpowiedzialności musi być jasno określony. Reguły działania znane i przestrzegane. Zrozumieliśmy, jak Support Online działa w otoczeniu z klientami, dostawcami i jaki wpływ mamy na siebie nawzajem. Określiliśmy odpowiedzialność, zmieniliśmy strukturę firmy, powstały nowe stanowiska pracy.
Rozproszenie procedur
W trakcie przygotowań do wdrożenia ISO stało się jasne, że każdy z pracowników zna tylko wycinek działalności firmy, który dotyczy jego lub zespołu, w którym pracuje. Odkryliśmy niedoskonałości, które należało naprawić. Zebrane zostały zasady działania firmy i pracowników. Po wnikliwym ich przeglądzie część procedur została zmodyfikowana, a reszta ujednolicona. Na przykład jasno określone zostały obowiązki konsultanta w godzinach pracy i poza nimi, odbieranie telefonu komórkowego itp. Następnie spisane na papier jako dokument obowiązujący każdego z pracowników. Każdy z naszych konsultantów stał się świadomym członkiem procesu bezpieczeństwa zachodzącego w Support Online.
Braki w procedurach
Od wielu lat przygotowaliśmy procedury na większość powtarzalnych działań. Napisane nie podlegały jednak przeglądom. Nie były monitorowane i sprawdzane okresowo pod kątem przydatności oraz aktualności. Nie mieliśmy ustalonego wzoru dokumentów. Wdrożenie ISO umożliwiło kontrolę nad stosowanymi procedurami i ich cyklem życia. Wprowadziliśmy szablony dokumentów z odpowiednią nazwą i wersją. Włączenie harmonogramów działań w aplikacji serwisowej, przypomina o konieczności wykonania niezbędnych kroków.Proces audytów wewnętrznych, a także audyt firmy z zewnątrz pozwalają na kontrolę najważniejszych procedur.
Rozproszenie plików
Przez lata stosowaliśmy kilka miejsc przechowywania informacji, co powodowało rozbieżności w dokumentacji. ISO wymusiło na nas wybór rozwiązania centralnego, by mieć pewność, że korzystamy z aktualnie obowiązującej wersji procedury. Wybór padł na Microsoft Sharepoint Online. Pozwala na elastyczne dostosowanie do potrzeb i dostęp praktycznie z dowolnego miejsca na ziemi.
Więcej o wyborze przechowywania plików w artykule: https://www.support-online.pl/bezpieczna-wymiana-plikow-w-kontekscie-pracy-z-domu-home-office/
Sprawy pracownicze
Po wdrożeniu ISO, sprawy pracownicze stały się integralną częścią systemu. Przyjęcia i zwolnienia znalazły miejsca pośród innych zadań firmy objętych procedurami. Opieka i świadczenia są omawiane przy okazji cyklicznych spotkań.
Bezpieczeństwo danych
Firma informatyczna przywiązuje uwagę do sposobu dostępu danych zarówno swoich, jak i klienta. W tym drugim przypadku ma to jeszcze większe znaczenie z powodu zaufania, którym obdarzają nas nasi klienci.
Szacowanie ryzyka
Norma ISO 27001 wymaga od nas ciągłego monitorowania własnych procedur, rozpoznawania pojawiających się szans oraz zagrożeń. Po ich rozpoznaniu trzeba oszacować prawdopodobieństwo wystąpienia oraz wpływ na otoczenie organizacyjne. Następnie należy podjąć należyte środki zaradcze. Proces kontroli zabezpieczeń i wewnętrznych procesów stał się bardziej przejrzysty i uporządkowany.
Przeglądy bezpieczeństwa informacji
Cotygodniowe spotkania zarządu z kierownikami grup są miejscem omawiania ważnych wydarzeń w firmie. Jest na nich również czas na omawianie zagrożeń, incydentów oraz pojawiających się szans rozwoju. Uzgodniliśmy agendę z koniecznymi do omówienia punktami. Wśród spraw zawsze jest miejsce na przegląd bezpieczeństwa, przekroczenie SLA, wnioski o ulepszenia i zmiany.
Reagowanie na zagrożenia
Pracownicy stali się częścią procesu bezpieczeństwa. Mają świadomość, by zgłaszać potencjalne zagrożenia, nawet gdy nie dotyczą bezpośrednio Support Online. Sprawdzamy i w razie konieczności informujemy naszych klientów o przeprowadzeniu działań zapobiegawczych.
ISO czy nie ISO?
Wdrażając ISO27001 można poznać swoją firmę od nowa. Sprawdzić, jak działają procesy wewnętrzne, kto i jaki ma wpływ na działalność. Wiele rzeczy należy zmienić, niektóre będą wymagały cierpliwości, inne dobrego porozumienia z pracownikami. Efektem udanego wdrożenia normy ISO będzie prężnie działająca firma z ufającymi klientami. Lepiej przygotowana na pojawiające się zagrożenia i szanse.
Support Online to firma outsourcingowa świadcząca usługi informatyczne na terenie Polski i zagranicą.
Oferujemy wiele nowoczesnych rozwiązań, usprawniamy funkcjonowanie systemów informatycznych. Główne punkty naszej oferty to: administracja serwerami, helpdesk, rozwiązania chmurowe.
Na co dzień mamy dostępy do wrażliwych danych i dlatego posiadamy certyfikat ISO/IEC 27001. Stawiamy na bezpieczeństwo, dzięki czemu nasi klienci mają pewność, że ich dane są u nas bezpieczne.
Maciej Ochal
Administrator i Trener Microsoft w Support Online