ISO/IEC 27001

Z Wikipedii

ISO/IEC 27001 to norma, która została opracowana 14 października 2005 r. została opublikowana norma ISO/IEC 27001 (wcześniej znana jako brytyjska norma BS 7799-2; (polskie tłumaczenie PN-I-07799-2:2005). Jest ona specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą będą wydawane certyfikaty. W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 - słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO /IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 - System Zarządzania Bezpieczeństwem Informacji. Wskaźniki i pomiar oraz ISO/IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.

W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:

1. Polityka bezpieczeństwa;

2. Organizacja bezpieczeństwa informacji;

3. Zarządzanie aktywami;

4. Bezpieczeństwo zasobów ludzkich;

5. Bezpieczeństwo fizyczne i środowiskowe;

6. Zarządzanie systemami i sieciami;

7. Kontrola dostępu;

8. Zarządzanie ciągłością działania;

9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;

10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;

11. Zgodność z wymaganiami prawnymi i własnymi standardami;

Norma PN-ISO/IEC 27001 stosuje znany już dobrze model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA), który jest stosowany do całej struktury procesów SZBI Proces wdrażania Systemu Zarządzania Bezpieczeństwem Informacji został zdefiniowany jako:

- Planuj - ustanowienie SZBI - ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.

- Wykonuj - wdrożenie i eksploatacja SZBI - wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.

- Sprawdzaj - monitorowanie i przegląd SZBI - pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.

- Działaj - utrzymanie i doskonalenie SZBI - podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma PN-ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A, Tablica A.1). Cele stosowania zabezpieczeń i zabezpieczenia zawarte w tablicy A.1 wynikają bezpośrednio, i są zgodne z wymienionymi w ISO/IEC 17799:2005.

Obecnie w obszarze prawa polskiego funkcjonuje kilka ustaw dotyczących ochrony informacji np.: - Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.), - Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Tekst ujednolicony po zmianie z 15 kwietnia 2005 r. Dz.U. 2005.196.1631)