ISO 27001
| ISO 27001 |
|---|
| Polecane artykuły |
System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:
- wprowadzenie,
- opis zakresu normy,
- odwołania do innych norm, a także
- terminy i definicje.
Kluczowe rozdziały dotyczą:
- zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji,
- odpowiedzialności kierownictwa,
- audytu wewnętrznego,
- przeglądu dokonywanego przez kierownictwo oraz
- doskonalenia SZBI.
Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.
Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: {{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}}
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- zarządzanie aktywami,
- bezpieczeństwo personelu,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami,
- kontrola dostępu do systemu,
- rozwój i utrzymanie systemu informacyjnego,
- zarządzanie incydentami bezpieczeństwa informacji,
- zarządzanie ciągłością działania,
- zapewnienie zgodności.
Grupy zabezpieczeń są ściśle związane z treścią normy ISO 17799:2005, w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 17799:2005 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.
Autor: Sławomir Wawak
