Na temat bezpiecznego zarządzania informacją rozmawiamy z Dariuszem Jarczyńskim, Członkiem Zarządu, Dyrektorem Operacyjnym, Pełnomocnikiem Zarządu ds. Bezpieczeństwa Informacji firmy Primesoft Polska Sp. z o.o.
Niewiele firm może pochwalić się posiadaniem certyfikatu zgodności z normą ISO 27001. Czym jest ten certyfikat?
Certyfikacja zgodności z międzynarodową normą ISO 27001 obejmuje system zarządzania bezpieczeństwem informacji. Standard ten nakłada na organizację szereg wymagań związanych z zapewnieniem bezpieczeństwa przetwarzanych danych. Ze względu na restrykcyjne wytyczne normy niewiele firm decyduje się na certyfikację w tym obszarze.
Certyfikacja objęła całą organizację, ze szczególnym uwzględnieniem procesów związanych z podstawową działalnością firmy czyli projektowaniem, produkcją, wdrażaniem i utrzymaniem oprogramowania dedykowanego do elektronicznego obiegu informacji.
Dla naszych klientów ochrona informacji ma bardzo wysoki priorytet. Uzyskany certyfikat potwierdza, że jako podmiot przetwarzający dane naszych klientów dbamy o zachowanie najwyższych standardów bezpieczeństwa pod kątem dostępności, poufności i integralności informacji.
Co zmieniło wdrożenie systemu zarządzania bezpieczeństwem informacji w funkcjonowaniu firmy?
Wdrożenie SZBI w organizacji związane jest z uporządkowaniem wewnętrznych procedur i zasad bezpieczeństwa. Wytyczne normy nakładają na organizację obowiązek systemowego zarządzania bezpieczeństwem. Podstawą SZBI zgodnego z normą ISO 27001 jest proces analizy i oceny ryzyk związanych z potencjalnymi zagrożeniami. Ponadto w ramach ustanowionego SZBI konieczne jest zbudowanie świadomości pracowników, stworzenie dokumentacji systemowej, a także cykliczne działania związane z oceną skuteczności systemu oraz planowanie postępowania z ryzykami.
Jak uzyskanie certyfikatu wpływa na relacje z Waszymi klientami lub potencjalnymi klientami? Jak certyfikat przekłada się na jakość oferowanych produktów oraz realizowanych usług?
Uzyskany certyfikat jest niezależnym potwierdzeniem poziomu dojrzałości naszej organizacji w zakresie kompetencji związanych z bezpieczeństwem danych. Jest to bardzo istotny element w ocenie wiarygodności firmy przez naszych partnerów oraz klientów. Wielokrotnie spotykamy się wręcz z wymaganiem posiadania tego typu potwierdzenia w ramach przeprowadzanych ankiet bezpieczeństwa.
Certyfikacja ISO 27001 jest kolejnym etapem rozwoju firmy poprzez polepszanie jakości świadczonych usług, zapewnienie profesjonalizacji naszych działań, a także zapewnia zachowanie najwyższego poziomu bezpieczeństwa dla dostarczanych klientom rozwiązań.
Jakie wyzwania napotkali Państwo podczas wdrożenia SZBI?
Realizacja projektu wymagała wypracowania i udokumentowania obowiązujących w organizacji zasad bezpieczeństwa, zbudowania świadomości kadry oraz zapewnienia stosowania ustanowionych reguł w codziennych działaniach. Przygotowanie do certyfikacji związane było z dużym zaangażowaniem całego zespołu przy jednoczesnym realizowaniu bieżących projektów oraz zapewnieniu standardowego poziomu świadczonych usług.
Z jaką jednostką certyfikującą współpracowaliście podczas realizacji projektu?
Audyt certyfikacyjny został przeprowadzony przez niezależną jednostkę certyfikującą – TÜV NORD CERT GmbH działającą w oparciu o akredytację niemieckiego DAkkS. Głównym kryterium wyboru podmiotu certyfikującego była jego wiarygodność, rzetelność i uznana marka.
Co dalej?
Wdrożenie systemu SZBI i jego certyfikacja to kolejny etap podnoszenia standardów bezpieczeństwa informacji w naszej firmie. Zgodnie z wytycznymi normy ISO 27001 nasze cele ukierunkowane są na doskonalenie i zwiększanie skuteczności systemu.
Jest to ważne wydarzenie w historii naszej firmy. Potwierdza nasze kompetencje w zakresie zapewnienia bezpieczeństwa informacji. Jestem dumny z całego naszego zespołu, ponieważ pomyślnie przeszliśmy certyfikację realizując tym samym wyznaczony cel.