Bezpieczeństwo informacji
ISO 27000 ISO 27001 PN-ISO/IEC 27001:2007
Co
to jest ISO 27001?
Norma ISO 27001 wywodzi się z brytyjskiego standardu bezpieczeństwa BS 7799. Stanowi ona najszerzej stosowany zestaw wskazówek dla wdrożenia i utrzymania bezpieczeństwa informacji w przedsiębiorstwie. Poszczególne rozdziały normy są
poświęcone następującym zagadnieniom:
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa,
- klasyfikacja aktywów organizacji i bezpieczeństwa
osobowego,
- sposoby kontroli dostępu, rozwoju i utrzymania
systemu,
- warunki pracy.
Zalety
wdrożenia systemu ISO 27001
Zastosowanie wytycznych normy daje
możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemalże
koniecznością. Coraz częściej to właśnie informacja jest najcenniejszym
środkiem produkcji, bowiem jej odzyskiwanie w razie utraty jest niezmiernie kosztownym i problematycznym procesem, znacznie trudniejszym od odtwarzania jakichkolwiek innych zasobów. Ponadto ujawnienie istotnych informacji może prowadzić do utraty
konkurencyjności przez przedsiębiorstwo. Z tego też względu informacja powinna w każdym przedsiębiorstwie podlegać szczególnej ochronie.
Jak
rozpocząć wdrożenie ISO 27001? Co się z tym wiąże?
Zastosowanie ISO/IEC 27001 pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać
środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa informacji koncentrując się na sferze organizacyjnej oraz kontrolując obszary zwiększonego ryzyka, takie jak:
-
polityka bezpieczeństwa,
-
kontrola dostępu do informacji,
-
zabezpieczenia na poziomie
organizacyjnym,
-
klasyfikacja i kontrola zasobów,
-
zarządzanie działaniem urządzeń
informatycznych,
-
przestrzeganie obowiązujących procedur i przepisów
prawa,
-
pracownicy,
-
zabezpieczenie fizyczne organizacji i
otoczenia,
-
zarządzanie ciągłością,
-
opracowywanie i utrzymywanie systemów informatycznych.
Wyróżnia
się wiele bardzo różnorodnych metod ustalania wymagań
związanych z
bezpieczeństwem informacji, z których niewątpliwie
podstawowe to:
-
znajomość uregulowań prawnych dotyczących wymaganych działań
zapewniających bezpieczeństwo informacji,
-
oszacowanie poziomu ryzyka utraty
informacji,
-
wypracowanie w przedsiębiorstwie odpowiedniej postawy odnośnie
zapewnienia bezpieczeństwo informacji,
-
wskazanie obszarów, w których zachodzi
konieczność poprawy.
W tym zakresie firmę
wspomogą doradcy, którzy najlepiej potrafią ocenić
sytuację firmy i właściwie zinterpretować wymagania normy.
Certyfikacja ISO/IEC 27001:2005
ISO 27001 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji (ISMS - Information Security Management Systems). Norma wskazuje na
sześcioetapowy proces kreowania i wdrożenia zaprojektowanych rozwiązań; odwołuje się do
konieczności określenia wszystkich aktywów informacyjnych i oszacowania ich istotności dla organizacji.
2007-01-04
04.01.2007 została opublikowana polskojęzyczna norma PN-ISO/IEC 27001:2007, zastępuje ona auomatycznie
PN-I-07799:2005.
14 października 2005 r. została opublikowana norma ISO / IEC 27001
W dalszym okresie planowane są publikacje kolejnych norm serii ISO / IEC 27000 - słownictwo i terminologia, ISO /IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO / IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO /IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO / IEC 27004 - System Zarządzania Bezpieczeństwem Informacji. Wskaźniki i pomiar oraz ISO / IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji
bezpieczeństwo informacji ISO 27001 ISO 27000 ISO 17799
Piotr
Wrzesiński
