ISO 17799: Różnice pomiędzy wersjami

Norma ISO 17799 wywodzi się z brytyjskiego standardu bezpieczeństwa BS 7799. Stanowi zestaw wskazówek dla wdrożenia i utrzymania bezpieczeństwa informacji w przedsiębiorstwie.

Zastosowanie ISO 17799 pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa informacji koncentrując się na sferze organizacyjnej oraz kontrolując obszary zwiększonego ryzyka, takie jak:

• polityka bezpieczeństwa,
• kontrola dostępu do informacji,
• zabezpieczenia na poziomie organizacyjnym,
• klasyfikacja i kontrola zasobów,
• zarządzanie działaniem urządzeń informatycznych,
• przestrzeganie obowiązujących procedur i przepisów prawa,
• pracownicy,
• zabezpieczenie fizyczne organizacji i otoczenia,
• zarządzanie ciągłością,
• opracowywanie i utrzymywanie systemów informatycznych.

Wyróżnia się wiele bardzo różnorodnych metod ustalania wymagań związanych z bezpieczeństwem informacji, z których podstawowe to:

• znajomość uregulowań prawnych dotyczących wymaganych działań zapewniających bezpieczeństwo informacji,
• oszacowanie poziomu ryzyka utraty informacji,
• wypracowanie w przedsiębiorstwie odpowiedniej postawy odnośnie zapewnienia bezpieczeństwo informacji,
• wskazanie obszarów, w których zachodzi konieczność poprawy.

Ewolucja normy ISO 17799

1. BS 7799 - brytyjski standard stanowiący podstawę systemów zarządzania bezpieczeństwem informacji opracowany został przez BSI (British Standards Institution).
2. BS 7799:1999 to dwuczęściowa norma:

• BS 7799-1:1999 - standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji (Code of practice for Information Security Managemen);
• BS 7799-2:1999 - standardowa specyfikacja dla systemów zarządzania bezpieczeństwem informacji (ISMS - Information Security Management System).

1. Pierwsza część została przyjęta przez organizację ISO jako standard ISO 17799 i dalej przyjęta do systemu "Polska Norma" jako PN-ISO/IEC 17799. Druga cześć została zatwierdzona do publikacji jako polskojęzyczna wersja normy BS 7799-2:1999 oznaczona PN-I-07799-2:2005.
2. W październiku 2005 r. została opublikowana norma ISO/IEC 27001 (wcześniej znana jako brytyjska norma BS 7799-2; polskie tłumaczenie PN-I-07799-2:2005), która jest specyfikacją sytemów zarządzania bezpieczeństwem informacji na zgodność z którą będą wydawane certyfikaty. W dalszym okresie planowane są publikacje kolejnych norm serii ISO / IEC 27000 - słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 - System Zarządzania Bezpieczeństwem Informacji. Wskaźniki i pomiar oraz ISO/IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.

Bibliografia

• Dworakowski W., Zarządzanie bezpieczeństwem informacji wg normy BS 7799 - Wprowadzenie, XI Konferencja PLOUG, Kościelisko, 2005.
• Perłowski R., Zarządzanie bezpieczeństwem informacji, [w:] Łunarski J. (red.), Systemy zarządzania bezpieczeństwem w przedsiębiorstwie, Oficyna Wydawnicza Politechniki Rzeszowskiej, Rzeszów, 2006.
• ISO 17799:2005 (wycofana)

Autor: Arkadiusz Kowalczyk