ISO 27001, czyli jak skutecznie zarządzać bezpieczeństwem informacji w firmie, szpitalu, urzędzie

Coraz częściej w mediach możemy usłyszeć informacje o incydentach związanych z naruszeniem bezpieczeństwa informacji. Ryzyko ujawnienia i/lub utraty istotnych, poufnych danych staje się poważnym problemem, z którym muszą sobie poradzić firmy i instytucji publiczne, np. szpitale czy urzędy. Niefrasobliwość w tym zakresie – beztroskie pozostawianie nośników z danymi w widocznych miejscach, ekrany monitorów zwrócone w stronę klientów, dokumenty leżące „luzem” na biurku lub wyrzucane na śmietnik – powoduje, że to, co ma być tajemnicą, staje się… tajemnicą poliszynela. Skutecznym rozwiązaniem tego problemu jest system zarządzania bezpieczeństwem informacji oparty o sprawdzoną normę międzynarodową ISO/IEC 27001. Klaster Instytucji Otoczenia Biznesu dysponuje odpowiednią wiedzą i zapleczem eksperckim, by taki system wdrożyć.

Ryzyko utraty informacji rośnie wraz ze wzrostem ilości przetwarzanych przez organizację danych i stosowaniem coraz bardziej skomplikowanych technologii informatycznych. W miarę rozwoju informatyki i Internetu pojawiają się nowe zagrożenia: wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe. Są to realne zagrożenia, które mogą narazić instytucję na utratę wiarygodności i reputacji, konkurencyjności, a także na straty finansowe. Do zapewnienia bezpieczeństwa przetwarzanych informacji firmy, urzędu oraz placówki służby zdrowia obligują ustawy:

• Ustawa o ochronie danych osobowych
• Ustawa o zwalczaniu nieuczciwej konkurencji
• Ustawa o ochronie informacji niejawnych
• Ustawa o ochronie osób i mienia
• Ustawa o rachunkowości
• Ustawa o dostępie do informacji publicznej
• Ustawa o prawie autorskim i prawach pokrewnych
• Ustawa o ochronie baz danych
• Ustawa o świadczeniu usług drogą elektroniczną

Obecnie w Polsce istnieje ponad dwieście aktów prawnych, które dotyczą ochrony informacji. Najodpowiedniejszym sposobem spełnienia tych wymagań jest wdrożenie efektywnego systemu zarządzania bezpieczeństwem informacji opartego o sprawdzoną normę międzynarodową ISO/IEC 27001.

ISO/IEC 27001
ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission). Polski Komitet Normalizacyjny wydał krajowy odpowiednik standardu:
PN-ISO/IEC 27001:2007.Norma określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI, ang. ISMS – Information Security Management System) oraz 11 obszarów mechanizmów kontrolnych obejmujących:
1) politykę bezpieczeństwa
2) organizację bezpieczeństwa
3) zarządzanie aktywami
4) bezpieczeństwo zasobów ludzkich
5) bezpieczeństwo fizyczne i środowiskowe
6) zarządzanie systemami i sieciami
7) kontrolę dostępu
8) pozyskiwanie, rozwój i utrzymanie systemów informatycznych
9) zarządzanie incydentami bezpieczeństwa
10) zarządzanie ciągłością działania
11) zapewnienie zgodności i z wymaganiami wewnętrznymi i prawnymi

Powyższy standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym. Do końca 2009 r. wydano co najmniej 12 934 certyfikatów ISO 27001:2005 w 117 krajach i gospdoarkach. W 2009 r. odnotowano wzrost o 3 688 (ok. 40%) w porównaniu z 2008 rokiem, kiedy wydano łącznie 9 246 certyfikatów w 82 krajach i gospodarkach. 

ISO/IEC 27001 w służbie zdrowia
W ostatnich latach w Europie utracono setki tysięcy danych dotyczących stanu zdrowia obywateli.W wielu krajach Europy działają regulacje nakładające na służbę zdrowia obowiązek ochrony danych osobowych pacjentów. Dotyczy to zarówno lekarzy, laboratoriów, szpitali, jak i sanatoriów. Ryzyko utraty danych  jest ogromne – pojedynczy szpital może przechowywać słabo zabezpieczone dane nawet kilkudziesięciu tysięcy obywateli. Każdy obywatel na podstawie kodeksu cywilnego może zażądać odszkodowania za utratę danych sięgającego setek tysięcy złotych.
W Polsce ochronę danych osobowych gwarantuje zarówno Konstytucja, Ustawa o ochronie danych osobowych, jak i Europejska Konwencja Praw Człowieka, a także Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznych w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania. Dane medyczne należące do tzw. danych wrażliwych, które w
szczególny sposób mogą być wykorzystywane przeciwko obywatelowi. Dostęp do danych na temat naszego stanu zdrowia może być nieuczciwie wykorzystywany i sprzyjać dyskryminacji ze strony ubezpieczycieli czy potencjalnych pracodawców. Niewłaściwie chroniona baza danych może stanowić niebezpieczny potencjał dla firm zajmujących się dystrybucją farmaceutyków i parafarmaceutyków.
Jedną z dróg do osiągnięcia właściwego i pożądanego poziomu ochrony danych jest certyfikacja Międzynarodowego Standardu Bezpieczeństwa zgodnie ISO 27001 – Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Uzyskany certyfikat świadczy o tym, że organizacja stosuje z należytą starannością wszystkie niezbędne środki bezpieczeństwa, zachowując równocześnie ustawowe wymogi integralności, poufności oraz dostępności danych. W efekcie szpital czy też inna jednostka ma
szanse wypracować model funkcjonowania i obiegu informacji, w którym dane pacjentów będą chronione przed osobami niepożądanymi, a dostępne dla nich samych i upoważnionych lekarzy. Równocześnie pojawią się narzędzia porządkujące
pracę podmiotu wdrażającego system zarówno w sferze administracyjnej, personalnej, finansowej, jak i kontrolnej. Dodatkowo, jednostka legitymująca się certyfikatem ISO 27001 nie tylko wzbudza zaufanie pacjentów, ale ma szansę stać się pożądanym partnerem jako firma wiarygodna i działająca na przejrzystych zasadach. Istotą Systemu Zarządzania Bezpieczeństwem Informacji w placówkach służby zdrowia jest nadzorowanie i przestrzeganie wymagań prawnych związanych z zasadami ochrony ustalonych danych w celu zapewnienia bezpieczeństwa tych danych. SZBI zapewnia m.in. ochronę danych osobowych przetwarzanych w systemach informatycznych, jak i zbiorach ręcznych.

Jak wdrożyć SZBI?
Najlepiej powierzyć to specjalistycznym organizacjom, które z racji swoich doświadczeń procedurę przeprowadzą sprawnie i skutecznie. Jedną z takich organizacji jest Klaster Instytucji Otoczenia Biznesu. Eksperci BizensKlastra opracowali efektywną strategię wdrażania SZBI, na którą składa się 13 elementów: 1) Zidentyfikowanie aktualnych luk bezpieczeństwa, zagrożeń dla bezpieczeństwa informacji oraz praktycznych zabezpieczeń, uświadomienie ewentualnych strat wynikających z braku systemu zarządzania bezpieczeństwem oraz korzyści wynikających z jego posiadania, analiza wydatków związanych z ewentualnymi karami i odszkodowaniami. 2) Zdefiniowanie zakresu SZBI. 3) Przygotowanie Deklaracji Stosowania. 4)   Zinwentaryzowanie zasobów. 5) Przeprowadzenie analizy ryzyka. 6) Przygotowanie Planu Postępowania z Ryzykiem. 7) Opracowanie programu wdrażania SZBI. 8) Implementacja programu wdrożenia SZBI. 9)  Eksploatacja SZBI. 10) Dokumentowanie SZBI – polityka bezpieczeństwa, standardy, procedury, wytyczne, raporty z analizy ryzyka, logi, raporty z przeglądu logów, raporty z audytów itp. 11) Sprawdzanie zgodności. 12) Podejmowanie działań korygujących. 13) Ocena SZBI w organizacji przed auditem certyfikacyjnym.

Igor Kaczor – Dyrektor
Działu Jakości i Zarządzania Polskiego Stowarzyszenia Doradczego i Konsultingowego.
Auditor wiodący ISO 9001, ISO 14001, ISO 27001. Ekspert Klastra Instytucji Otoczenia Biznesu w dziedzinie systemów zarządzania jakością.