Bezpieczeństwo Informacji - System Zarządzania wg ISO 27001:2017

Technika informatyczna – Techniki bezpieczeństwa 
Systemy Zarządzania Bezpieczeństwem Informacji 
Wymagania wg ISO 27001:2017

 

Norma ISO/IEC 27001:2017 to najnowszy zbiór wymagań do skutecznego wdrożenia systemu zarządzania bezpieczeństwem informacji. Na świecie została ona wprowadzona po raz pierwszy w 2005 roku na podstawie brytyjskiego standardu BS 7799-2, natomiast w Polsce pierwsze wydanie miało miejsce w roku 2007, zastępując normę PN-I-07799-2:2005.

Wdrażanie sytemu zarządzania bezpieczeństwem informacji wg ISO 27001 prowadzone jest na podstawie wymagań opisanych w 11 obszarach związanych z bezpieczeństwem informacji w każdym przedsiębiorstwie, a mianowicie: polityka bezpieczeństwa,organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, zarządzanie ciągłością działania, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami dotyczącymi bezpieczeństwa informacji oraz zgodność z wymaganiami prawnymi.

Norma PN-ISO/IEC 27001 stosuje, podobnie jak w ISO 9001, model PDCA „Planuj – Wykonuj – Sprawdzaj – Działaj”, który jest stosowany do całej struktury procesów SZBI. Proces wdrażania wymagań ISO 27001 został zdefiniowany jako:

Planuj - ustanowienie polityki bezpieczeństwa informacji, wyznaczenie celów, zaplanowanie procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia systemu zarządzania tak, aby uzyskać wyniki zgodne z zaplanowanymi politykami i celami organizacji.

Wykonuj - implementacja polityki SZBI, zabezpieczeń, procesów i procedur.

Sprawdzaj - monitorowanie i przegląd SZBI czyli pomiar skuteczności procesów w relacji do polityki SZBI, celów oraz dostarczanie raportów kierownictwu do przeglądu.

Działaj - utrzymanie i doskonalenie SZBI - działania korygujące i zapobiegawcze na podstawie wyników auditów wewnętrznych i przeglądu kierownictwa lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

 

PN-ISO/IEC 27001 zawiera normatywny załącznik A opisujący zabezpieczenia, które należy stosować w celu ograniczenia ryzyk. Zabezpieczenia zawarte w załączniku A są zgodne z wymienionymi w ISO/IEC 27002.