ISO 27001

Z Encyklopedia Zarządzania
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
ISO 27001
Polecane artykuły


System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:

  • wprowadzenie,
  • opis zakresu normy,
  • odwołania do innych norm, a także
  • terminy i definicje.

Kluczowe rozdziały dotyczą:

  • zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji,
  • odpowiedzialności kierownictwa,
  • audytu wewnętrznego,
  • przeglądu dokonywanego przez kierownictwo oraz
  • doskonalenia SZBI.

Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.

Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy:

Wprowadzenie do ISO 27001 (Sławomir Wawak)

Grupy zabezpieczeń są ściśle związane z treścią normy ISO 17799:2005, w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 17799:2005 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.

Autor: Sławomir Wawak