ISO 27001 sertificēti uzņēmumi plānveidīgi ievieš GDPR prasības

Agnese Alksne

BM Trada Latvija Biznesa attīstības vadītāja

27

Tie uzņēmumi, kuri ir ieviesuši ISO 27001 informācijas drošības vadības sistēmas standartu, šobrīd daudz veiksmīgāk var tik galā ar Vispārīgā datu aizsardzības regula (GDPR) izaicinājumiem.

Mūsu, BM Trada Latvija, klienti lielākoties eksportē savas preces un pakalpojumus, tādējādi ir liels pieprasījums pēc dažādu veidu sertifikātiem, kas apliecina to produkcijas un vadības sistēmu atbilstību starptautiskiem kritērijiem, tai skaitā arī attiecībā uz informācijas drošības pārvaldību. Mūsu klientu vidu ir gan privātas, gan publiskas organizācijas, kas strādā ar fizisko personu datiem.

 

Ko dod ISO 27001 standarts?

ISO 27001 standarts radās nozares dialoga ietvaros un tajā ir apkopota labākā prakse, lai panāktu informācijas drošību. Jānorāda, ka ISO 27001 standarta labā prakse ir iestrādāta gan reģionālajos, gan nacionālajos tiesību aktos, kas skar informācijas drošību. Piemēram, Latvijā pašvaldībām jāspēj nodrošināt informācijas drošība pār datiem ar kuriem viņas strādā – kā sociālā dienesta klientu informācija, slimnīcās – pacientu un skolās – skolēnu informācija utt., par pamatu ņemot standartā noteiktos plānošanas, kontroles, atbildības un pārbaužu principus.

Standarts paredz, ka uzņēmumā vai organizācijā tiek metodiski izvērtēti riski, likumdošanas un līgumiskas prasības un ir noteikti atbilstoši mērķi un rīcības plāni, kas ļauj novērst attiecīgos riskus, izpildīt prasības  un sasniegt mērķus.

Ja uzņēmums ir sertificējies pēc ISO 27001 standarta, tad atbilstība šim standartam apliecina, ka uzņēmumā vai organizācijā informācijas drošības sistēmai un uzņēmumam kā sadarbības partnerim var uzticēties. Klientu uzticība ir viens no organizācijas pastāvēšanas priekšnosacījumiem laikmetā, kad informācija kļūst pieejamāka.

Kā rīkoties, lai ieviestu GDPR paredzētās izmaiņas?

Kontekstā ar regulu BM Trada Latvija vadošais auditors Mārtiņš Šitcs rekomendē uzņēmumiem un iestādēm sekojošus rīcības scenārijus:

1)     Tiem, kas domā par informācijas drošību tikai tagad, pirmo reizi dzirdot par šo regulu un tās sekām, iesakām izmantot ISO 27001 standarta Annex A – pielikumu, lai izvērtētu sava uzņēmuma atbilstību 114 dažādu standarta noteikto kontroļu prasībām.
2)     Tiem, kuri strādā jau ilgāku laiku un kuriem ir izstrādātas iekšējās procedūras par informācijas drošību, bet tas notiek projektveidīgi un nav izveidota stingra informācijas pārvaldības sistēma, kas ieviešot regulu rada vairāk jautājumus nekā atbildes, izmantot iespēju un paskatīties uz savu uzņēmumu no ISO 27001 standarta principu viedokļa, lai procesus sakārtotu, noteiktu atbildīgos un ieviestu sistemātiskas kontroles pār Jūsu īpašumā esošiem datiem.

3)     Tie, kas jau šodien strādā pēc ISO 27001 standarta, ir sertificēti, noteikti ceļš līdz izmaiņu ieviešanai ir vieglāks, jo standarts paredz regulāri atjaunot informāciju par normatīvajiem aktiem (A18.1.1) un izvērtēt to ietekmi uz uzņēmuma darbību, kā arī ir šādā uzņēmumā būs noteikts atbildīgais, kas to dara un informācijas drošības jautājumi tiek skatīti augstākajā vadības līmenī. Es teiktu ka šie uzņēmumi ir daudz gatavāki procesuāli šīm izmaiņām.

4)         Lai labāk notiktu informācijas apmaiņa par labākajiem risinājumiem, kā ieviest šīs regulas ieviestās pārmaiņas, liela loma būtu jāspēlē nozaru asociācijām, ne tikai, kas saistītas ar IT, bet, piemēram, bankām, tirgotājiem u.c., lai savstarpēji dalītos ar labo praksi un risinājumiem, jo mērķis ir pasargāt personu jūtīgos datus un rīkoties ar tiem korekti. Piemēram, Latvijas Komercbanku asociācija ir izstrādājusi vadlīnijas, kā ieviest regulu finanšu/ banku sektorā. Regulas konteksta, ja nozaru vadlīnijas/ uzvedības kodeksi eksistēs, būs pirmais atbilstības vērtējums pēc kura vadīsies, lai spriestu par soda sankcijām uzņēmumiem. Tā uzņēmums iegūst laiku, lai novērstu neatbilstības.

Vairāk:

BM Trada Latvija ir Exova BM TRADA grupas uzņēmums, kas vada sertifikācijas pakalpojumu sniegšanu Latvijā, Lietuvā, Igaunijā, Somijā, Vācijā un Baltkrievijā.