Wdrożenie systemu ISO 27001

Wdrożenie systemu zarządzania bezpieczeństwem informacji wymaga pełnego zaangażowania ze strony organizacji. Konsultant (konsultanci) muszą mieć wsparcie ze strony ludzi którzy znają organizację, którzy wiedza jaka jest specyfika funkcjonowania.

Kluczowa dla wdrożenia zakończonego sukcesem jest współpraca z działem informatycznym.

Po podjęciu decyzji i zabezpieczeniu zasobów można przejść do realizacji zadania, które odbywa się w kilku etapach:.

I. Określenie celu.

Należy określić cele związane z bezpieczeństwem informacji jakie chcemy osiągnąć. Może to być przykładowo baza klientów, wartości kontraktów, warunki płatności ale mogą to być również receptury, techniki lub technologie itp.

II. Koordynacja wdrożenia.

Konieczne jest wyznaczenie ze strony Zamawiającego osoby koordynującej prace w firmie, organizacji. Oprócz koordynatora wskazane jest powołanie tak zwanego Administratora Systemów Informatycznych (ASI)– który będzie brał czynny udział we wdrożeniu.

Zadaniem Administratora Systemów Informatycznych jest w trakcie wdrożenia proponowanie konkretnych rozwiązań informatycznych, będących realizacją przyjętych wymogów bezpieczeństwa informacji.

III. Opracowanie polityk, instrukcji, procedur.

Koordynator, Zespół do spraw Wdrożenia, ASI biorą czynny udział w opracowaniu dokumentacji systemowej. Ważne jest, aby dokumentacja ta (polityki, instrukcje, procesy, procedury) została wpleciona w istniejące w organizacji procesy.

Ażeby dokumentacja ta została opracowana w sposób prawidłowy należy wziąć między innymi pod uwagę następujące elementy:

• ustanowione cele bezpieczeństwa informacji,

• ustalenie hierarchii, przebiegu procesów i ich wzajemnych relacji,

• opracowanie metod monitorowania procesów,

• opracowanie metod monitorowania osiągania celów bezpieczeństwa informacji,

• zapewnienie kompetencji pracowników mających wpływ na bezpieczeństwo informacji,

• ustalenie odpowiedzialności pracowników w związku z bezpieczeństwem informacji,

• ustalenie zakresów dokumentowania funkcjonowania systemu,

• określenie zasad wykorzystywania dokumentów systemowych,

• ustalenie harmonogramów audytów i regularnych przeglądów systemu.

IV. Komunikacja.

Ważnym elementem wdrożenia jest regularne informowanie o postępach we wdrożeniu ale również o potencjalnych przeszkodach czy utrudnieniach. Należy wsłuchiwać się w głos pracowników, w ich potrzeby i doceniać zaangażowanie.

V. Wdrożenie systemu.

Wdrożenie systemu krok po kroku, zgodnie z charakterystyką poszczególnych komórek organizacyjnych.

Wdrożenie można zacząć od wprowadzenia systemu w jednym obszarze, aby wykazać  pozytywne strony działania.

Funkcjonujący system generuje zapisy związane z funkcjonowaniem systemu takie jak:

• zapisy potwierdzające realizację procedur,

• zapisy z audytów,

• zapisy związane z zarządzanie ryzykiem,

• zapisy związane z przeglądem i doskonaleniem systemu.

VI. Certyfikacja.

Po wdrożeniu systemu, przeprowadzeniu audytu wewnętrznego, przeprowadzeniu przeglądu zarządzania można zgłosić system jako gotowy do weryfikacji.

Certyfikat dla systemu jakości jest ważny przez okres trzech lat, po czym audyt certyfikacyjny przeprowadzany jest ponownie.

W tym czasie jednostka certyfikująca nadzoruje system zarządzania przedsiębiorstwa, dokonując regularnych audytów kontrolnych – tak zwany audyt nadzoru.