Dlaczego warto pracować z agencją lojalnościową posiadającą wdrożoną normę ISO/IEC 27001:2013? Wnioski z audytu TÜV Rheinland w i360 - Tomasz Makaruk

Dlaczego warto pracować z agencją lojalnościową posiadającą wdrożoną normę ISO/IEC 27001:2013? Wnioski z audytu TÜV Rheinland w i360

Przed trzema laty postanowiliśmy w i360 wdrożyć normę ISO/IEC: 27001:2013. Działanie to podyktowane było chęcią osadzenia dynamicznego rozwoju zakresu działalności Spółki w ramach ogólnie akceptowanej i wysoce wymagającej normy bezpieczeństwa, która stała się kanwą rozwoju i360.
6

Dlaczego warto pracować z agencją lojalnościową posiadającą wdrożoną normę ISO/IEC 27001:2013? Wnioski z audytu TÜV Rheinland w i360 - Tomasz Makaruk
ISO27001:2013 dla i360

Przed trzema laty postanowiliśmy w i360 wdrożyć normę ISO/IEC: 27001:2013. Działanie to podyktowane było chęcią osadzenia dynamicznego rozwoju zakresu działalności Spółki w ramach ogólnie akceptowanej i wysoce wymagającej normy bezpieczeństwa, która stała się kanwą rozwoju i360. Szczegółową analizę przyczyn oraz korzyści wdrożenia normy ISO przedstawiałem w publikacji z 2016 r. dostępnej pod tym linkiem https://www.marketingbusinessblog.pl/isoiec-270012013-dla-i360-sp-z-o-o/

Czym jest norma ISO/IEC: 27001:2013?

Najlepiej opisuje to na swoich stronach partner i360, który wspomagał nas we wdrożeniu – Malon Group, określając, iż jest to norma dotycząca bezpieczeństwa informacji – czyli ochrony informacji przed szeroką gamą zagrożeń w celu zapewnienia ciągłości oraz minimalizowania ryzyka biznesu. Bezpieczeństwo informacji jest realizowane przez wdrażanie odpowiedniego systemu zabezpieczeń w tym polityki, procesów, procedur, struktury organizacyjnej, funkcji oprogramowania i sprzętu. Zabezpieczenia te muszą zostać ustanowione, wdrożone, monitorowane, sprawdzone i stale udoskonalane,  w celu zapewnienia, że bezpieczeństwo i cele biznesowe organizacji są spełnione. Powinno to, co jest niezwykle istotne, odbywać się w powiązaniu z innymi procesami zarządzania przedsiębiorstwem (por. https://www.iso.org.pl/uslugi-zarzadzania/wdrazanie-systemow/zarzadzanie-ryzykiem/iso-iec-27001/).

W ciągu trzech lat funkcjonowania w ramach ISO/IEC: 27001:2013 co roku doświadczaliśmy audytów prowadzonych przez jednostkę certyfikującą TÜV Rheinland polegających na ocenie zgodności systemu zarządzania przy zastosowaniu metody próbkowania dla celów ponownej certyfikacji z uwzględnieniem zmian. Co to w praktyce oznacza? Nie mniej ni więcej, jak bardzo szczegółowy przegląd wszystkich procesów istniejących w organizacji, począwszy od planowania strategicznego, przez procesy operacyjne i biznesowe, ze szczególnym naciskiem na zarządzanie infrastrukturą IT, a także aspekty zgodności poszczególnych działań z wymogami obowiązującego prawa.

Przed laty mieliśmy wyobrażenie, iż audyt TÜV Rheinland będzie polegał wyłącznie na sprawdzeniu fizycznych zabezpieczeń centrum przetwarzania danych i360 i w związku z powyższym przypominał będzie proces przeprowadzania testów penetracyjnych. W praktyce jednak działanie to jest jedynie częścią dwudniowego cyklu spotkań – rozmów – z przedstawicielami poszczególnych działów organizacji (obsługi Klienta, IT, help desk, compliance, prawnego, centrum logistycznego, a nawet kreacji) podczas których audytorzy dążą do odpowiedzi na pytanie czy sposób postępowania i360 jest zgodny z normą ISO.

W toku audytu zwrócono uwagę na wypełnianie obowiązków ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz zgodność polityki bezpieczeństwa z RODO.

Obejrzyj wywiad ze mną na kanale „O programach lojalnościowych nocą” w którym wyjaśniam zasady organizacji loterii wspierających programy lojalnościowe

Wracając do tytułowego pytania – dlaczego warto pracować z agencją lojalnościową posiadającą wdrożoną normę ISO/IEC 27001:2013? Przede wszystkim dlatego, iż w ten sposób zyskują Państwo pewność – potwierdzoną przez jednostkę certyfikującą, iż dana agencja spełnia wszystkie wymogi bezpieczeństwa informacji, gwarantując w ten sposób iż Państwa dane (osobowe, sprzedażowe, dystrybucyjne, itp) pozostają bezpieczne nie tylko pod względem zabezpieczeń fizycznych serwerów, ale także procesów ich przetwarzania, gdyż w każdej organizacji usługowej najsilniejszym, ale również najsłabszym ogniwem jest czynnik ludzki. System zarządzania bezpieczeństwem informacji ma za zadanie wyeliminować ryzyko z nim związane.

Sam zaś audyt TÜV Rheinland przeprowadzony w i360 minionym tygodniu zakończył się pomyślnie i zaowocował przedłużeniem certyfikacji ISO, ze szczególnym podkreśleniem wysokiego poziomu zaangażowania pracowników w przestrzeganie norm bezpieczeństwa informacji.

6

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *