Wdrożenie norm ISO stanowi potwierdzenie dla organizacji, że jej procedury wewnętrzne spełniają określone standardy w danej dziedzinie. W zakresie bezpieczeństwa informacji taką normą jest norma ISO/IEC 27001, która jest normą międzynarodową standaryzującą systemy zarządzania bezpieczeństwem informacji.
Czym jest norma ISO/IEC 27001?
Normy ISO/IEC 27001 są regularnie aktualizowane. Wyróżnić jednak można typowe obszary, mające wpływ na bezpieczeństwo informacji w organizacji, a które są regulowane przez treść tej normy. Zapisy normy ISO/IEC 27001 standaryzują procedury m.in. w obszarach, takich jak:
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- zarządzanie aktywami,
- bezpieczeństwo zasobów ludzkich,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami,
- kontrola dostępu,
- zarządzanie ciągłością działania,
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
- zarządzanie incydentami związanymi z bezpieczeństwem informacji,
- zgodność z wymaganiami prawnymi i własnymi standardami.
Ponadto należy zauważyć, że norma ISO/IEC 27001 jest ogólnoświatowym standardem, ale nie odnosi się wyłącznie do ochrony danych osobowych w rozumieniu przepisów RODO, lecz reguluje szerszy obszar, jakim jest bezpieczeństwo informacji. Co ważne, w praktyce nie jest ona instrumentem certyfikacji określonym w art. 42 RODO, ale stanowi ona szerszy i niezależny system standardów, którego celem jest pełne zabezpieczenie organizacji i przetwarzanych przez nią informacji, nie tylko danych osobowych.
Zadania IOD w zakresie wdrożenia normy ISO/IEC 27001
Jak wskazano wcześniej, norma ISO/IEC 27001 nie jest instrumentem przewidzianym w RODO, ale znacznie szerszym narzędziem regulującym bezpieczeństwo informacji. W tej sytuacji rolę i obowiązki Inspektora Ochrony Danych (dalej: IOD) w procesie uzyskania certyfikacji według normy ISO/IEC 27001 należy określać zgodnie z zadaniami, jakie wyznacz...
Dalsza część jest dostępna dla użytkowników z wykupionym planem