Ocena wprowadzonego systemu PN ISO/IEC 27001:2007 i sposób jego funkcjonowania w systemach zarządzania wybranych firm

Opracowanie wyników badań

1. Zakres badań

Tematem badań była ocena wprowadzonego systemu PN ISO/IEC 27001:2007 i sposób jego funkcjonowania w systemach zarządzania bezpieczeństwem informacji w wybranych firmach. Badaniu podlegały przedsiębiorstwa, które wdrożyły PN ISO/IEC 27001:2007 i posiadają akredytowany certyfikat. Istnieje 168 takich firm w Polsce, spośród których do próby reprezentatywnej, przy założeniu 95% poziomu ufności, 50% udziału populacji generalnej oraz 4% błędu szacowania zostało wybrane na podstawie wyliczeń 131 firm. Celem badań była ocena sytemu przez środowisko, a podstawowym zadaniem było pozyskanie informacji na temat jak system został wdrożony i jak funkcjonuje oraz stosunek pracowników i przełożonych do całego procesu wprowadzania systemu i jego teraźniejszego działania w przedsiębiorstwie. Informacje te zostały pozyskane poprzez przeprowadzenie ankiet telefonicznych z wybranymi przedsiębiorstwami. Odpowiedzi zostały udzielone przez 40 firm przy rzeczywistym poziomie ufności 61% dla populacji generalnej wynoszącej 131 przedsiębiorstw, podczas przeprowadzania rozmów z osobami zajmującymi się wdrażaniem i działaniem systemu.

 

2. Przyczyny wdrożenia systemu PN ISO/IEC 27001:2007

Najważniejszym zagadnieniem jest oczywiście powód dla jakiego przedsiębiorstwo wprowadziło ten system. Odpowiedzi w ankiecie były następujące:
1. Zapewnienie bezpieczeństwa zarządzanym informacjom.
2. Zwiększenie poczucia bezpieczeństwa pracownikom.
3. Strach przed wykradnięciem cennych informacji z przedsiębiorstwa.
4. Moda. Na poniższym wykresie (Rys.1.) przedstawione zostały odpowiedzi ankietowanych, które wyraźne pokazują, że najważniejszym powodem dla wdrożenia systemu PN ISO/IEC 27001:2007 była chęć zapewnienia bezpieczeństwa zarządzanym informacjom (75%). Potem ankietowani podawali powód jakim jest chęć zwiększenia poczucia bezpieczeństwa pracownikom oraz strach przed wykradnięciem cennych informacji ( po 12,5%). Wynika z tego, że wybrane przedsiębiorstwa chciały wdrożyć ten system zgodnie z wytycznymi przedstawionymi w normie i nie kierowały się żadnymi dodatkowymi pobudkami takimi jak moda czy konkurencyjność dla innych przedsiębiorstw. ISO27001_Grupa5_rys1.png

 

3. Sposób wdrożenia systemu

System może być wdrażany przez firmę samodzielnie lub przy pomocy organu zewnętrznego. To właśnie samodzielności wdrażania dotyczyło następne poruszone zagadnienie, na które respondenci odpowiadali kolejno: tak lub nie. ISO27001_Grupa5_rys2.pngPowyższy wykres (Rys.2.) dokładnie przedstawia, że większa cześć ankietowanych (60%) nie wdrażała systemu samodzielnie, potrzebując pomocy z poza firmy, a mianowicie jednostki specjalizującej się we wdrażaniu systemów. Można jednak zauważyć, że w 16 spośród badanych jednostek (40%) system został wprowadzony wewnątrz przedsiębiorstwa, przez powołaną grupę pracowników odpowiedzialnych za wykonanie tego zadania. Podsumowując powyższe wyniki można stwierdzić, że większość jednostek posiadających PN ISO/IEC 27001:2007 nie była na tyle samodzielna, by wdrożyć system bez zaangażowania dodatkowej pomocy. Może to wynikać z faktu, że przedsiębiorstwo było małe (liczba takich przedsiębiorstw wynosiła 10% ze wszystkich badanych) lub średniej wielkości (liczba przedsiębiorstw średniej wielkości wyniosła 50% ze wszystkich badanych) i nie mogło zaangażować dodatkowych pracowników do wdrażania systemu lub żadna z osób pracujących w danej firmie nie była kompetentna w zakresie tegoż zagadnienia.

Zobacz podobne  Nowa norma ISO/IEC 27001:2022

 

4. Czas potrzebny na wprowadzenie systemu PN ISO/IEC 27001:2007

ISO27001_Grupa5_rys3.png

Prowadząc badania warto było poznać okres wdrażania Systemu Zarządzania Bezpieczeństwem Informacji. Było to kolejne zagadnienie ujęte w przeprowadzonej ankiecie. Możliwe warianty odpowiedzi były następujące: a) Poniżej 6 miesięcy; b) Od 6 do 12 miesięcy; c) Od 12 do 18 miesięcy; d) Od 18 do 24 miesięcy; e) Powyżej 24 miesięcy. Poniższy wykres (Rys.3.) świadczy o tym, że tylko 25% badanych potrzebowała na wprowadzenie systemu mniej niż 6 miesięcy. Najwięcej respondentów (57,5%) wdrożyła system w okresie od 6 do 12 miesięcy. 10% badanych podawała odpowiedz 1,5 roku, a 5% badanych 2 lata. Była też jednostka, której czas wdrażania systemu zajął ponad 2 lata. Przyczyn takich wyników może być wiele. Na pewno należy wspomnieć o sytuacji wewnątrz firmy wdrażającej system jak i sytuacji w środowisku ją otaczającym. Przykładami czynników wpływających na czas wprowadzenia tego systemu może być:

wielkość organizacji;
zakres działalności organizacji;
czas na wyszkolenie pracowników w zakresie wiedzy na temat systemu PN ISO/IEC 27001:2007;
liczba pracowników pracujących w organizacji;
budżet przedsiębiorstwa.

5. Kwestia zmiany systemu informatycznego firmy

ISO27001_Grupa5_rys4.png

Prowadząc badania istotne było również poznanie odpowiedzi na pytanie dotyczące konieczności (alternatywnie braku) całkowitej zmiana systemu informatycznego firmy po wdrożeniu PN ISO/IEC 27001:2007. Respondenci mogli zareagować odpowiadając:

a) Tak
b) Nie.

Z powyższego wykresu (Rys.4.) wynika, że system ISO 27001 nie zmusił do całkowitej zmiany systemu informatycznego. Taką odpowiedz podało aż 92.5%. W pozostałych przypadkach(7.5%) należało wprowadzić nowy system informatyczny. Taki rozkład odpowiedzi jest przede wszystkim wynikiem rodzaju działalności przedsiębiorstw. Zmiany były konieczne w firmach zajmujących się działalnością przede wszystkim teleinformatyczną co potem potwierdziło się po sprawdzeniu kwestii profilu danego przedsiębiorstwa. Firmy takie mogły sobie pozwolić na istotne zmiany w tym systemie oraz posiadały odpowiedni sztab ludzi, którzy mogliby zająć się tą kwestią.

 

6. Problemy ze zmianą systemu informatycznego w przedsiębiorstwach

Biorąc pod uwagę odpowiedzi dotyczące konieczności zmiany systemu informatycznego firmy istotne jest poznanie problemów spowodowanych powyższa zmianą. Ankietowane firmy mogły wskazać następujące warianty odpowiedzi:

a) Problem z przekazywaniem informacji wewnątrz i na zewnątrz firmy.
b) Problem z wykonywaniem poleceń.
c) Problemy spowodowane częstym sypaniem się systemu.
d) Inne (jakie?)

ISO27001_Grupa5_rys5.png

Na powyższym wykresie (Rys.5) można zauważyć, że jednym z problemów było przekazywanie informacji wewnątrz i na zewnątrz firmy. Taką odpowiedz podała jedna spośród trzech firm odpowiadających na to pytanie. Dwie pozostałe uznały, że problemy były wynikiem częstego „sypania się” systemu. Na tej podstawie można stwierdzić, że system nie funkcjonował tak dokładnie jak powinien a także utrudnił przepływ informacji, zarówno wewnątrz i jak i poza firmą. ISO27001_Grupa5_rys6.pngOdnosząc się do pytania związanego z problemami wynikającymi z całkowitej zmiany systemu informatycznego firmy dodatkowo poproszono o udzielenie odpowiedzi czy wskazane problemy miały wpływ na jakość wykonywanych usług. Odpowiedź mogła brzmieć jedynie:

Zobacz podobne  Jak zostać Audytorem ISO Pełnomocnikiem Systemu Zarządzania?

a) Tak
b) Nie

Na podstawie wykresu (Rys.6.) widzimy wyraźnie, że problemy te nie miały żadnego odniesienia do jakości usług świadczonych przez ankietowane firmy. Powstałe utrudnienia nie spowodowały zaburzeń podczas wykonywanej pracy oraz w dostawie usługi do klienta.

7. Audyty wewnętrzne

ISO27001_Grupa5_rys7.pngAudit to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu. Natomiast audity wewnętrzne, nazywane czasem auditami strony pierwszej, są przeprowadzane w celach wewnętrznych przez same przedsiębiorstwo lub w jego imieniu i mogą stanowić dla niego podstawę do zadeklarowania przez nią zgodności. Kolejnym poruszonym zagadnieniem są więc audyty wewnętrzne, a mianowicie to czy są one przeprowadzane w przedsiębiorstwie oraz jak często są one przeprowadzane. Z pierwszego wykresu (Rys. 7.) jednoznacznie wynika, że w przypadku wszystkich ankietowanych przedsiębiorstw audyty wewnętrzne są prowadzone. Świadczy to o świadomości potrzeby ciągłej oceny, korygowania występujących błędów oraz doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.

ISO27001_Grupa5_rys8.pngJeżeli chodzi natomiast o częstotliwość przeprowadzania tych audytów, przedstawiony na poniższym wykresie (Rys.8.) rozkład odpowiedzi świadczy o stosunkowo częstym prowadzeniu audytów wewnętrznych. 42,5% ankietowanych stwierdza, że w ich firmach audyty te są prowadzone raz na pół roku a w przypadku 47,5% raz na rok.

Wariant c (mniej niż 2 razy na 3 lata) wybrało 7,5% respondentów. W przypadku jednej z badanych firm częstotliwość audytów wewnętrznych jest różna od narzucanych możliwości wyboru. Można powiedzieć, że firmy często i w konsekwencji systematycznie prowadzą audyty wewnętrzne, które są istotne dla prawidłowego i coraz lepszego funkcjonowania systemu PN ISO/IEC 27001:2007.

 

 

8. Funkcjonowanie systemu zarządzania informacjami po wdrożeniu systemu PN ISO/IEC 27001:2007

Ważnym zagadnieniem jest oczywiście działanie systemu zarządzania oraz ochrony informacji w przedsiębiorstwie po wdrożeniu całego systemu. Dlatego też, ankietowani zostali poproszeni o odpowiedź w tym zakresie. Możliwości reakcji były następujące:

1.) System funkcjonuje lepiej niż dotychczas, ale utrudnienia przy jego wdrażaniu były problematyczne;
2.) System funkcjonuje zdecydowanie lepiej;
3.) System funkcjonuje zdecydowanie gorzej, nie był potrzebny, a jego wdrożenie zajęło dużo czasu;
4.) Nie mam zdania na ten temat, ponieważ system po prostu należało wdrożyć.

Rozkład odpowiedzi, świadczy o zdecydowanym polepszeniu zarządzania informacji oraz ich ochrony w badanych przedsiębiorstwach. Można więc wnioskować, że norma dotycząca systemu została dobrze skonstruowana i nie posiada w swojej treści żadnych błędów, które mogłyby przełożyć się na praktyczne działanie systemu. Mały odsetek ankietowanych podkreśla jedynie problemy we wdrażaniu systemu, jednak jego funkcjonowanie uważa za lepsze. Problemy przy jego wprowadzeniu mogą wynikać z braku odpowiedniej wiedzy pracowników, braku szkoleń czy też z błędami firmy wprowadzającej system i prawdopodobnie są w ogóle niezwiązane z konstrukcją samej normy. Udzielone odpowiedzi pokazuje poniższy wykres (Rys.9.).

Zobacz podobne  NIS vs NIS2

ISO27001_Grupa5_rys9.png

 

9. Porównanie pozycji badanych przedsiębiorstw po wdrożeniu systemu PN ISO/IEC 27001:2007

ISO27001_Grupa5_rys10.png
Wiadomym jest, że po wprowadzeniu jakiegokolwiek systemu pozycja firmy na rynku może umocnić się, jeżeli ten działa poprawnie lub obniżyć się, gdy system nie spełnia swojej funkcji i wręcz dezorganizuje pracę całego przedsiębiorstwa. Dlatego też ankietowani zostali zapytani o tą kwestie. Przeważająca liczba respondentów dokonała odpowiedzi (Rys.10.), że pozycja ich przedsiębiorstw na rynku zdecydowanie umocniła się. Znowu świadczy to o odpowiednim skonstruowaniu całej normy oraz o tym, że system został wdrożony poprawnie, jak również o tym, że konsumenci korzystający z usług danego przedsiębiorstwa darzą je większym zaufaniem, gdy to posiada system PN ISO/IEC 27001:2007. Można też stwierdzić, że konkurencyjność przedsiębiorstwa z tym systemem jest większa.

 

10. Jakość sposobu przekazywania informacji w przedsiębiorstwie po wdrożeniu systemu PN ISO/IEC 27001:2007

Najbardziej istotną kwestią w cały badaniu jest indywidualna ocena wprowadzonego systemu przez ankietowanych. Zadane pytanie dotyczyło usprawnienia lub utrudnienia sposobu przekazywania informacji w przedsiębiorstwie, czyli ogólnie rzecz biorąc jakości wysyłania/odbioru danych. Odpowiedzi nie były narzucane, więc każdy respondent mógł wyrazić swoją opinię lub przedstawiał zdanie pracowników dotyczące działania systemu (Rys.11). ISO27001_Grupa5_rys11.png

Podsumowanie

Po przeprowadzeniu badania i dokonaniu analizy wyników z ankiet nasuwa się wniosek, że system PN ISO/IEC 27001:2007 jest doskonałym narzędziem do zarządzania i ochrony informacji w przedsiębiorstwach niezależnie od ich wielkości, branży i położenia. Sprawdza się również stwierdzenie, że wprowadzenie systemu opartego na postanowieniach normy PN ISO/IEC 27001:2007 pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Wprowadzony system polepsza sposób przepływu informacji oraz chroni je przed wykradnięciem czy niepowołanym dostępem. Jedynym utrudnieniem jest zwiększenie zakresu obowiązków pracowników oraz powiększenie liczby dokumentów, ze względu na potrzebę prowadzenia dokumentacji systemowej. Firmy poddane badaniu zgodnie twierdzą, że system umocnił pozycję ich przedsiębiorstw na rynku oraz zwiększył ich konkurencyjność. Ogólna ocena systemu jest na pewno pozytywna i wynika to z przeprowadzonego badania oraz jego funkcjonowania w wybranych firmach, które udało się poddać ankiecie. Należy również dodać, że zabezpieczenie informacji w ogromnym stopniu wiąże się z zarządzaniem jakością, a mianowicie skoordynowanymi działaniami, dotyczącymi kierowania organizacją i jej nadzorowania w odniesieniu do jakości, ponieważ wprowadzenie tego systemu jest tego typu skoordynowanym działaniem. Tym samym rodzajem działań są częste audyty wewnętrzne, które doskonalą funkcjonowanie całej aparatury systemowej. Świadczy to o tym, że przedsiębiorstwa dbają o jakość swoich wyrobów jakimi są w tym wypadku ważne dane i informacje. Wpływa to na wizerunek przedsiębiorstwa, które może szczycić się doskonałą jakością wykonywanych usług oraz produkowanych dóbr.

Autorzy: Edyta Czarnacka

Izabela Dębosz

Magdalena Pietrzyk

Scroll to Top