ISO 27001: Różnice pomiędzy wersjami
m (Infobox update) |
(LinkTitles.) |
||
| Linia 16: | Linia 16: | ||
[[System zarządzania bezpieczeństwem informacji]] obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą [[audyt jakości|audytów wewnętrznych]] i [[przegląd zarządzania|przeglądu zarządzania]]. Znalazł on odzwierciedlenie w strukturze normy [[ISO]] 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają: | [[System zarządzania bezpieczeństwem informacji]] obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także [[monitorowanie]] systemu za pomocą [[audyt jakości|audytów wewnętrznych]] i [[przegląd zarządzania|przeglądu zarządzania]]. Znalazł on odzwierciedlenie w strukturze [[normy]] [[ISO]] 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają: | ||
* wprowadzenie, | * wprowadzenie, | ||
* opis zakresu normy, | * opis zakresu normy, | ||
| Linia 29: | Linia 29: | ||
* doskonalenia SZBI. | * doskonalenia SZBI. | ||
<google>ban728t</google> | <google>ban728t</google> | ||
Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie [[ISO 9001|ISO 9001:2000]] przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem. | Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie [[ISO 9001|ISO 9001:2000]] [[przegląd]] występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, [[audyt]] zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem. | ||
Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: | Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: | ||
{{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}} | {{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}} | ||
* polityka bezpieczeństwa, | * [[polityka]] bezpieczeństwa, | ||
* [[organizacja]] bezpieczeństwa informacji, | * [[organizacja]] bezpieczeństwa informacji, | ||
* [[zarządzanie]] aktywami, | * [[zarządzanie]] aktywami, | ||
| Linia 40: | Linia 40: | ||
* zarządzanie systemami i sieciami, | * zarządzanie systemami i sieciami, | ||
* [[kontrola]] dostępu do systemu, | * [[kontrola]] dostępu do systemu, | ||
* rozwój i utrzymanie systemu informacyjnego, | * [[rozwój]] i utrzymanie systemu informacyjnego, | ||
* zarządzanie incydentami bezpieczeństwa informacji, | * zarządzanie incydentami bezpieczeństwa informacji, | ||
* zarządzanie ciągłością działania, | * [[zarządzanie ciągłością działania]], | ||
* zapewnienie zgodności. | * zapewnienie zgodności. | ||
<google>ban728t</google> | <google>ban728t</google> | ||
Wersja z 22:21, 19 maj 2020
| ISO 27001 |
|---|
| Polecane artykuły |
System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:
- wprowadzenie,
- opis zakresu normy,
- odwołania do innych norm, a także
- terminy i definicje.
Kluczowe rozdziały dotyczą:
- zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji,
- odpowiedzialności kierownictwa,
- audytu wewnętrznego,
- przeglądu dokonywanego przez kierownictwo oraz
- doskonalenia SZBI.
Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.
Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: {{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}}
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- zarządzanie aktywami,
- bezpieczeństwo personelu,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami,
- kontrola dostępu do systemu,
- rozwój i utrzymanie systemu informacyjnego,
- zarządzanie incydentami bezpieczeństwa informacji,
- zarządzanie ciągłością działania,
- zapewnienie zgodności.
Grupy zabezpieczeń są ściśle związane z treścią normy ISO 17799:2005, w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 17799:2005 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.
Autor: Sławomir Wawak
