Nie panikuj, przygotuj się: Jak przygotować firmę do audytu ISO/IEC 27001 i nie zwariować po drodze
Jak wygląda audyt ISO/IEC 27001 od kuchni? Praktyczna opowieść o tym, jak HR-owiec bez doświadczenia w IT stanął na czele projektu certyfikacji, zderzył się z analizą luk, procedurami, kontrolami i wymaganiami – i przetrwał. Dowiedz się, jak krok po kroku przygotować firmę do audytu, uniknąć chaosu i sprawnie przejść przez cały proces.
Dzień, w którym Kasia z HR dowiedziała się, czym jest ISO
Kasia przyszła do pracy jak co dzień – kawa, Outlook, zaplanowane spotkanie z działem rekrutacji. Nagle jednak do jej pokoju zagląda szef i rzuca hasło:
- Kasia, potrzebuję cię przy projekcie ISO. Zaczynamy przygotowania do certyfikacji 27001.
- Do czego…? – zapytała zdezorientowana, nie wiedząc jeszcze, że przez najbliższe miesiące będzie gorączkowo googlować pojęcia typu „incydent”, „poufność” i „kontrola dostępu”.
Okazało się, że Kasia - specjalistka HR, nie informatyk - ma pokierować przygotowaniami firmy do audytu ISO/IEC 27001. Nie znała tej normy. Ale była odpowiedzialna, komunikatywna i… lubiła porządek. Dlatego właśnie ją wybrano. I bardzo dobrze - audyt ISO to nie jest zadanie tylko dla działu IT. Ba, dotyczy całej firmy: od procedur HR, przez fizyczne zabezpieczenia biura, po IT.
Pierwszy miesiąc przygotowań to był chaos. Maile bez odpowiedzi, dziesiątki plików bez oznaczenia wersji! a polityka bezpieczeństwa informacji ostatni raz aktualizowana w 2017 roku.
Kasia przyznała później: “Myślałam, że ISO to będą tylko papiery. Nie wiedziałam, że największym wyzwaniem będzie przekonać ludzi, że to się naprawdę robi.”
Brzmi znajomo? Historia Kasi to scenariusz wielu firm, które rozpoczynają swoją przygodę z wdrożeniem wymagań normy ISO/IEC 27001. Ten artykuł pokaże Ci, jak przejść przez ten proces świadomie, mądrze i - co najważniejsze - skutecznie.
Analiza luk – czyli brutalna szczerość
Kasia nie stała się z dnia na dzień ekspertem od ISO/IEC 27001. Na szczęście na start dostała od konsultanta cenną pomoc: checklistę 93 wymagań z Załącznika A nowej normy ISO/IEC 27001:2023 i… zbladła na jej widok. Lista ciągnęła się przez kilkanaście stron. Ale tu nie chodziło o to, żeby wszędzie zaznaczyć “tak, mamy to”.
Chodziło o realną ocenę: co już działa, co nie działa, czego brakuje, a co istnieje tylko „na papierze”. Innymi słowy - czas na rzetelną analizę luk w naszej organizacji.
Z pomocą konsultanta Kasia i jej zespół stworzyli prosty, 5-krokowy framework analizy luk:
- Przeczytaj wymaganie – zrozum, czego ono faktycznie wymaga np. czy mamy określoną politykę, proces lub narzędzie?
- Zidentyfikuj istniejące dowody albo stwierdź ich brak - jakie dokumenty, zapisy lub działania już spełniają ten wymóg?
- Oceń ryzyko - zastanów się, jakie ryzyko niesie pominięcie lub niespełnienie tego wymagania.
- Określ adekwatność kontroli - czy dana kontrola/wymóg jest w ogóle sensowny w kontekście naszej firmy? (O kontekście za chwilę więcej).
- Zdecyduj, co dalej - trzy opcje: wdrożyć brakujący element, usprawnić istniejący (bo jest, ale działa słabo) albo świadomie odrzucić daną kontrolę z uzasadnieniem.
Tak, dobrze czytasz - można świadomie odrzucić kontrolę! Do tego zaraz wrócimy. Najpierw jednak: rzetelna analiza luk działa jak rentgen organizacji. Bywa bolesna - ujawnia wszystkie słabe punkty, ale jest niezbędna, żeby postawić trafną diagnozę i zaplanować leczenie.
Czy musisz mieć wszystko wdrożone?
To jedno z najczęstszych pytań Kasi i całego jej zespołu do konsultanta ISO: “Ale czy naprawdę musimy mieć wdrożone wszystkie 93 kontrolki z listy, żeby dostać certyfikat?”
Odpowiedź brzmi: nie, nie musisz. Standard ISO/IEC 27001:2022 pozwala pominąć niektóre kontrole, jeśli uzasadnisz, że Ciebie one nie dotyczą. Kluczem jest tu kontekst organizacji oraz dokument zwany Deklaracją Stosowania. W Deklaracji Stosowania wyszczególniasz wszystkie wymagania z Załącznika A i przy każdej kontroli zaznaczasz, czy:
- jest zastosowana (wdrożona) w Twojej firmie,
- jest pominięta - wraz z uzasadnieniem, dlaczego ją pomijasz.
Przykłady? Proszę bardzo:
- Kontrola dotycząca fizycznej ochrony serwerowni - możesz wykluczyć, jeśli całą infrastrukturę IT masz w 100% w chmurze, brak serwerowni = brak tematu.
- Kontrola wymagająca monitoringu CCTV w biurze - nie ma sensu, jeśli w biurze nie przetwarzasz żadnych wrażliwych informacji albo po prostu Twoje biuro to jeden pokój w coworkingu.
Ważne: pomijamy tylko to, co faktycznie nie ma zastosowania i zawsze dokumentujemy logiczne uzasadnienie oparte na analizie ryzyka. Audytor podczas certyfikacji na pewno zapyta: “Czemu pominęliście akurat te punkty?” - i musisz mieć na to dobrą odpowiedź np. opartą o wyniki analizy ryzyka i specyfikę działalności. Jeśli masz sensowne powody, norma ISO/IEC 27001 absolutnie to dopuszcza.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
Umów się na bezpłatną konsultacje. Nasi konsultanci skontaktują się z Tobą, aby uzgodnić odpowiedni czas na spotkanie.
Dowody, których audytor nie przegapi
Po kilku miesiącach Kasia i spółka wdrożyli brakujące polityki, procedury i zabezpieczenia. Ale sama implementacja to nie wszystko - trzeba jeszcze przygotować dowody na poparcie tego, co zostało zrobione. Do certyfikacji dokumentacja i dowody to Twoi najlepsi przyjaciele.
Oto kilka przykładów dowodów z życia wziętych, prosto z Załącznika A, których żaden audytor na pewno nie przegapi:
- A.5.1 - Polityka bezpieczeństwa informacji → aktualny dokument zatwierdzony przez zarząd z podpisem oraz dowód, że jest okresowo przeglądany i aktualizowany.
- A.7.2 - Szkolenia pracowników → programy szkoleniowe z bezpieczeństwa i potwierdzenia udziału np. listy obecności, certyfikaty ukończenia szkolenia.
- A.8.3.2 - Utylizacja nośników danych → protokoły z niszczenia lub bezpiecznego usuwania danych z dysków i nośników, które wycofano z użycia.
- A.9.2.1 - Zarządzanie dostępem użytkowników → procedura nadawania i odbierania uprawnień + rejestry pokazujące, kto i kiedy zatwierdził dostępy lub je odebrał.
- A.12.3.1 - Kopie zapasowe → harmonogram wykonywania backupów oraz logi/raporty potwierdzające, że kopie rzeczywiście są robione i testowane!
Każdy punkt kontrolny z normy to jakieś wymaganie, a na każde wymaganie powinien być namacalny dowód. Dlatego już w trakcie wdrożenia warto zadbać o porządek w dokumentacji i rejestrowanie ważnych działań. W dniu audytu będzie, jak znalazł, zamiast nerwowego szukania po szufladach.
A jak wygląda sam audyt? Audytor podczas certyfikacji zadaje mnóstwo pytań w stylu: „Pokażcie przykład…”, „Na jakiej podstawie zdecydowaliście o…?” albo „Kto zatwierdził…?”. Waszym zadaniem jest wyłożyć kawę na ławę - pokazać dokumenty, procedury, zapisy, a nawet porozmawiać z pracownikami - tak, audytor może chcieć zweryfikować świadomość ludzi! Dlatego warto, by zespół był przygotowany: żeby każdy wiedział, gdzie są dokumenty i jak wygląda jego rola w systemie bezpieczeństwa informacji.
Co po audycie? Niezgodności to nie koniec świata
Stało się - audyt certyfikacyjny za Wami. Czy to znaczy, że koniec stresu? Prawie. Firma Kasi przeszła audyt, ale w raporcie audytora pojawiły się 3 niezgodności i 6 spostrzeżeń.Żadna z niezgodności nie była może dramatyczna, ale zawsze to lekki cios w ambicję. Najważniejsze jednak - do każdej zidentyfikowanej kwestii zespół szybko przygotował plan korekty.
Jak podeszli do tematu? Opracowali dla każdej niezgodności proces naprawczy w czterech krokach:
- Analiza przyczyny źródłowej - szczera odpowiedź na pytanie: dlaczego doszło do niezgodności? np. procedura była, ale pracownicy jej nie znali - czyli zawiodła komunikacja.
- Działanie korygujące - co konkretnie robimy, żeby problem rozwiązać? np. aktualizacja procedury i dodatkowe szkolenie przypominające dla zespołu.
- Przydzielenie odpowiedzialności i terminu - ktoś musi być odpowiedzialny za wdrożenie korekty, i to z konkretną datą wykonania bez “na święte nigdy”.
- Dowód wykonania – po wszystkim, zbieramy dowody, że korekta została wdrożona np. nowa wersja dokumentu z aktualną datą i podpisem zatwierdzającego, lista osób przeszkolonych itp.
Taki plan wdrożyli od razu. Audytor zweryfikował skuteczność działań - co jest standardową praktyką przy niezgodnościach. Efekt? Certyfikat przyznany. Uff!
Jak skomentował to audytor na zakończenie: “Nie jesteście idealni, ale dobrze zarządzacie swoją nieidealnością. A to najważniejsze.”
Innymi słowy, niezgodności się zdarzają nawet najlepszym - liczy się to, jak na nie reagujesz. ISO to ciągłe doskonalenie, a nie konkurs piękności na idealny system.
Co mówi Kierownik IT, Prezes i Audytor?
Na koniec historii Kasi warto poznać perspektywę różnych osób zaangażowanych w ten cały rollercoaster z ISO. Oto trzy głosy, które mówią wiele o praktycznym aspekcie wdrożenia:
Kierownik IT:
“Największym wyzwaniem nie było wcale wdrożenie nowych systemów czy zabezpieczeń. Najtrudniejsze okazało się dogadać wspólny język z działem HR i Zarządem. Dopiero gdy wszyscy zaczęli rozumieć nawzajem swoje potrzeby, system zaczął działać, jak należy.”
Prezes:
“Obawiałem się, że ISO nas spowolni biurokracją. Okazało się, że ISO nas… uporządkowało. Dzięki niemu szybciej odpowiadamy na pytania klientów o bezpieczeństwo i mamy mniej wewnętrznego chaosu. Dla mnie, jako prezesa, to ogromna wartość dodana.”
Audytor (zewnętrzny):
“ISO to nie checklisty i odhaczanie ptaszków. To kultura organizacyjna - podejmowanie decyzji świadomie i spójnie. Firmy, które to rozumieją, przechodzą audyty znacznie sprawniej niż te, które robią coś tylko pod certyfikat.”
Na koniec: ISO to nie projekt. To zmiana kultury
Dziś Kasia już wie, że ISO/IEC 27001 nie kończy się na certyfikacie. To nie jednorazowy projekt, po którym można odetchnąć i wrócić do starych przyzwyczajeń. W firmie Kasi zaszła zmiana sposobu myślenia o informacji, ryzyku i odpowiedzialności. Co się zmieniło?
Wcześniej (przed ISO):
- Każdy działał trochę po swojemu, według własnych zasad i przyzwyczajeń.
- Szkolenia bezpieczeństwa były teoretyczne i oderwane od codziennej pracy, pracownicy odbębniali je bez większego zaangażowania.
- Dokumenty bezpieczeństwa pisano od święta, a nie z myślą o realnym używaniu na co dzień.
Teraz (po wdrożeniu ISO):
- Ludzie dokładnie wiedzą, co robić w razie incydentu - są procedury, są odpowiedzialni, nie ma paniki.
- Decyzje dotyczące bezpieczeństwa informacji są podejmowane świadomie i poparte analizą ryzyka (koniec z “wydaje mi się, że tak będzie dobrze”).
- Klienci coraz częściej pytają w ofertach o nasze zabezpieczenia i certyfikaty, a my odpowiadamy im konkretnie i z dumą przedstawiamy nasze praktyki, bo mamy je udokumentowane i wdrożone.
Czy wszystko zadziałało od razu jak w zegarku? Oczywiście, że nie - zmiana kultury to proces, nie rewolucja. Wciąż zdarzają się potknięcia, ludzie czasem zapominają o nowych zasadach i trzeba im przypomnieć. Ale fundament jest mocny, a najtrudniejszy pierwszy krok już za nami.
Bo bezpieczeństwo informacji to nie przykry obowiązek ani koszt. To przewaga konkurencyjna, coś, co buduje zaufanie klientów i stabilność biznesu. Warto o nie dbać każdego dnia.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?
