Tomasz Makaruk
Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013 - Tomasz Makaruk

Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013

W minionym miesiącu, już po raz piąty, pozytywnie przeszliśmy w i360 doroczny audyt zgodności z normą ISO/IEC 27001:2013 przeprowadzony przez TÜV Rheinland. Poniższy tekst opisuje wnioski z audytu oraz korzyści dla Klientów i360 ze współpracy z podmiotem, który taką normę posiada.
6

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji – dotyczy wymagań w zakresie tworzenia, utrzymywania i rozwoju systemów ochrony informacji przed szeroką gamą zagrożeń w celu zapewnienia ciągłości oraz minimalizowania ryzyka biznesu. Jest to zbiór najlepszych praktyk gwarantujących naszym Klientom ochronę ich danych. Czy to ważne? Mając na uwadze, iż w ramach prowadzonych programów motywacyjnych przetwarzamy dane sprzedażowe, osobowe, o strukturze dystrybucji oraz budżetach inwestycji w działania wsparcia sprzedaży, jakie prowadzimy dla naszych Klientów – jest to bardzo istotne zagadnienie.

Aby uzyskać certyfikat, niezależny podmiot — w naszym przypadku TÜV Rheinland – wysyła do przedsiębiorstwa ubiegającego się o jego uzyskanie lub przedłużenie ważności audytorów, których głównym zadaniem jest sprawdzenie, czy wdrożone procedury bezpieczeństwa informacji są zgodne z międzynarodową normą.
Audyty certyfikacyjne ISO nigdy nie należą do łatwych. Czas pandemii i niezbędne środki ostrożności, jakie należało w konsekwencji zastosować, wiązały się z dodatkowymi wyzwaniami związanymi z dorocznym spotkaniem z audytorami TÜV Rheinland.

Jak przebiega audyt ISO/IEC 27001:2013?

Celem audytu było:

  • określenie zdolności systemu zarządzania obowiązującego w i360 do zapewniania spełnienia przez organizację mających zastosowanie wymagań przepisów prawnych, regulacyjnych i umów;
  • określenie skuteczności systemu zarządzania w zapewnianiu racjonalnych oczekiwań osiągnięcia wyspecyfikowanych celów i360;
  • ocena zgodności systemu zarządzania przy zastosowaniu metody próbkowania dla celów utrzymania istniejącej certyfikacji.

Wbrew powszechnej opinii audyt zgodności z międzynarodową normą bezpieczeństwa informacji nie dotyczy wyłącznie zagadnień IT. Audyt obejmuje całą organizację, począwszy od zarządu, przez szefów działów oraz losowo wybranych pracowników. Szczególny nacisk kładziony jest na bezpieczeństwo informacji, stąd w oczywisty sposób najwięcej czasu zajmują spotkania z działem compliance, IT oraz pełnomocnikiem ds. systemu zarządzania bezpieczeństwem informacji.

Audytowane są polityki bezpieczeństwa informacji, procesy, umowy, metody zarządzania, instrukcje, zabezpieczenia, kopie bezpieczeństwa, metodologia zarządzania zmianą, plany zarządzania incydentami oraz business continuity, legalność oprogramowania, aktualność systemów informatycznych, polityki kontroli dostępu, standardowe procedury operacyjne i wiele innych obszarów i aspektów działalności, w tym np. dalekie od aspektów stricte IT, jak…. sprawność urządzeń PPOŻ.

Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013 - Tomasz Makaruk

O czym świadczy certyfikat ISO/IEC 27001:2013?

Naszych klientów interesuje, czy i360 gwarantuje najwyższy możliwy poziom bezpieczeństwa. Każdy podmiot zajmujący się profesjonalnie zarządzaniem programami lojalnościowymi i motywacyjnymi będzie zapewniał o swojej niezawodności i oferowanym bezpieczeństwie. Tylko i360 jest w stanie udokumentować swoje słowa pozytywnymi wynikami pięciu już audytów i wdrożonym systemem zarządzania zgodnymi z normą ISO.

Efektem audytu jest raport. Najważniejsze zdanie w raporcie z audytu brzmi: „Organizacja ustanowiła i wdrożyła skuteczny system do realizacji swojej polityki i celów. Zespół audytujący potwierdza, zgodnie z celami audytu, że system zarządzania organizacji spełnia wymagania normy ISO/IEC 27001:2013, jest odpowiednio utrzymywany i doskonalony”. Czytając te słowa, wiemy, iż dobrze wykonujemy swoją pracę, a wskazane obszary usprawnień wyznaczają kierunki naszego rozwoju.

Doświadczenia z poprzednich audytów opisane są pod tymi linkami:

  1. Dlaczego warto pracować z agencją posiadającą wdrożoną normę ISO 27001:2013
  2. ISO/IEC 27001:2013 dla i360 Sp. z o.o.

Czy podmiot, który prowadzi Państwa program lojalnościowy posiada wdrożony system zarządzania zgodny z ISO?

Jeżeli są Państwo zainteresowani wdrożeniem programu lojalnościowego B2C, motywacyjnego B2B lub sprawdzeniem, jak i360 może usprawnić Państwa program w zakresie procesowym, prawno-podatkowym, logistycznym czy wreszcie bezpieczeństwa informacji – zapraszam do kontaktu.

Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013 - Tomasz Makaruk

Zapraszam do kontaktu.
O programach lojalnościowych wiemy wszystko.
Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013 - Tomasz Makaruk Tomasz.Makaruk@i360.com.pl
Bezpieczeństwo informacji w i360. Audyt ISO 27001:2013 - Tomasz Makaruk 22 331.09.97

6

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *