ISO 27001

ISO 27001
Polecane artykuły


System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:

  • wprowadzenie,
  • opis zakresu normy,
  • odwołania do innych norm, a także
  • terminy i definicje.

Kluczowe rozdziały dotyczą:

  • zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji,
  • odpowiedzialności kierownictwa,
  • audytu wewnętrznego,
  • przeglądu dokonywanego przez kierownictwo oraz
  • doskonalenia SZBI.

Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.

Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy:

  • polityka bezpieczeństwa,
  • organizacja bezpieczeństwa informacji,
  • zarządzanie aktywami,
  • bezpieczeństwo personelu,
  • bezpieczeństwo fizyczne i środowiskowe,
  • zarządzanie systemami i sieciami,
  • kontrola dostępu do systemu,
  • rozwój i utrzymanie systemu informacyjnego,
  • zarządzanie incydentami bezpieczeństwa informacji,
  • zarządzanie ciągłością działania,
  • zapewnienie zgodności.

Grupy zabezpieczeń są ściśle związane z treścią normy ISO 17799:2005, w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 17799:2005 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.

Autor: Sławomir Wawak