ISO 27001: Różnice pomiędzy wersjami

Z Encyklopedia Zarządzania
m (Infobox update)
 
(LinkTitles.)
Linia 16: Linia 16:




[[System zarządzania bezpieczeństwem informacji]] obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą [[audyt jakości|audytów wewnętrznych]] i [[przegląd zarządzania|przeglądu zarządzania]]. Znalazł on odzwierciedlenie w strukturze normy [[ISO]] 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:
[[System zarządzania bezpieczeństwem informacji]] obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także [[monitorowanie]] systemu za pomocą [[audyt jakości|audytów wewnętrznych]] i [[przegląd zarządzania|przeglądu zarządzania]]. Znalazł on odzwierciedlenie w strukturze [[normy]] [[ISO]] 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:
* wprowadzenie,
* wprowadzenie,
* opis zakresu normy,
* opis zakresu normy,
Linia 29: Linia 29:
* doskonalenia SZBI.  
* doskonalenia SZBI.  
<google>ban728t</google>
<google>ban728t</google>
Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie [[ISO 9001|ISO 9001:2000]] przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.  
Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie [[ISO 9001|ISO 9001:2000]] [[przegląd]] występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, [[audyt]] zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.  


Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy:
Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy:
{{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}}
{{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}}
* polityka bezpieczeństwa,
* [[polityka]] bezpieczeństwa,
* [[organizacja]] bezpieczeństwa informacji,
* [[organizacja]] bezpieczeństwa informacji,
* [[zarządzanie]] aktywami,
* [[zarządzanie]] aktywami,
Linia 40: Linia 40:
* zarządzanie systemami i sieciami,
* zarządzanie systemami i sieciami,
* [[kontrola]] dostępu do systemu,
* [[kontrola]] dostępu do systemu,
* rozwój i utrzymanie systemu informacyjnego,
* [[rozwój]] i utrzymanie systemu informacyjnego,
* zarządzanie incydentami bezpieczeństwa informacji,
* zarządzanie incydentami bezpieczeństwa informacji,
* zarządzanie ciągłością działania,
* [[zarządzanie ciągłością działania]],
* zapewnienie zgodności.  
* zapewnienie zgodności.  
<google>ban728t</google>
<google>ban728t</google>

Wersja z 22:21, 19 maj 2020

ISO 27001
Polecane artykuły


System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów. Cztery pierwsze zawierają:

  • wprowadzenie,
  • opis zakresu normy,
  • odwołania do innych norm, a także
  • terminy i definicje.

Kluczowe rozdziały dotyczą:

  • zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji,
  • odpowiedzialności kierownictwa,
  • audytu wewnętrznego,
  • przeglądu dokonywanego przez kierownictwo oraz
  • doskonalenia SZBI.

Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.

Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: {{#ev:youtube|uAxb1E3XdmQ|480|right|Wprowadzenie do ISO 27001 (Sławomir Wawak)|frame}}

Grupy zabezpieczeń są ściśle związane z treścią normy ISO 17799:2005, w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 17799:2005 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.

Autor: Sławomir Wawak