ISO/IEC 27001

ISO/IEC 27001norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiej normy BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005, czyli polską wersję brytyjskiego standardu BS 7799-2.

ISO/IEC 27001:2005 (PN-ISO/IEC 27001:2007) jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty[1].

2 grudnia 2014 roku PN-ISO/IEC 27001:2007 została wycofana i zastąpiona normą PN-ISO/IEC 27001:2014-12.[2]. Tę z kolei zastąpiono, opublikowaną 10 stycznia 2018 roku, normą PN-ISO/IEC 27001:2017-06[3].

Obszary normy

W normie ISO/IEC 27001:2005 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:

  1. Polityka bezpieczeństwa;
  2. Organizacja bezpieczeństwa informacji;
  3. Zarządzanie aktywami;
  4. Bezpieczeństwo zasobów ludzkich;
  5. Bezpieczeństwo fizyczne i środowiskowe;
  6. Zarządzanie systemami i sieciami;
  7. Kontrola dostępu;
  8. Zarządzanie ciągłością działania;
  9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
  10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  11. Zgodność z wymaganiami prawnymi i własnymi standardami.

Cykl Deminga

Norma PN-ISO/IEC 27001 stosuje znany już dobrze model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA), który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI został zdefiniowany jako:

  • Planuj – ustanowienie SZBI – ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
  • Wykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
  • Sprawdzaj – monitorowanie i przegląd SZBI – pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
  • Działaj – utrzymanie i doskonalenie SZBI – podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma PN-ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A, Tablica A.1). Załącznik A jest obligatoryjny. Cele stosowania zabezpieczeń i zabezpieczenia zawarte w tablicy A.1 wynikają bezpośrednio i są zgodne z wymienionymi w ISO/IEC 27002.

Powiązane akty prawne

Obecnie w obszarze prawa polskiego funkcjonuje kilka ustaw dotyczących ochrony informacji np.:

Plany rozwoju norm serii ISO/IEC 27000

W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 – słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) – praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003 – porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 – system zarządzania bezpieczeństwem informacji – wskaźniki i pomiar, oraz ISO/IEC 27005 (obecnie BS 7799-3) – zarządzanie ryzykiem bezpieczeństwa informacji.

Zobacz też

Przypisy