ISO 27001 – informacje podstawowe

Norma ISO 27001 2017

Obszary normy

W normie PN-EN ISO/IEC 27001 wyróżniono 12 obszarów, mających wpływ na bezpieczeństwo informacji w organizacji są to:

  1. Polityki bezpieczeństwa informacji
  2. Organizacja bezpieczeństwa informacji
  3. Bezpieczeństwo zasobów ludzkich
  4. Zarządzanie aktywami
  5. Kontrola dostępu
  6. Kryptografia
  7. Bezpieczeństwo fizyczne i środowiskowe
  8. Bezpieczeństwo komunikacji
  9. Pozyskiwanie rozwój i utrzymanie systemów
  10. Relacje z dostawcami
  11. Zarządzanie incydentami związanymi z bezpieczeństwem
  12. Zgodność

Organizacje są zobowiązane do implementacji zabezpieczeń w odniesieniu do zidentyfikowanych i powiązanych z nimi ryzyk zgodnie z przyjętą metodyką szacowania i postępowania z ryzykiem. W praktyce jeśli analiza ryzyka wykazała że dane zabezpieczenie nie wpływa na podniesienie bezpieczeństwa lub obniżenie ryzyka, może zostać wyłaczone z zakresu SZBI. Wszelkie wyłączenia muszą zostać odnotowane w Deklaracji stosowania wraz z adekwatnym uzasadnieniem.

Dokumentacja

Błędnym założeniem jest uznanie że norma wymaga od organizacji przygotowania dziesiątek dokumentów, procedur i formularzy. W rzeczywistości, oprócz kilku obligatoryjnych dokumentów systemowych, organizacja sama decyduje które procedury , formularze bądź instrukcje zostaną przygotowane oraz w jaki sposób będą realizowane zapisy wynikające z systemu. W trakcie audytu certyfikującego audytorzy będą szukali potwierdzenia działania systemu zgodnie z zaleceniami normy i przyjętą deklaracją stosowania, to od nas zależy czy wskażemy jako dowód uzupełniony formularz czy też logi danego systemu informatycznego.

Plan wdrożenia systemu

Norma PN-EN ISO/IEC 27001 stosuje podejście oparte na ryzyku i jest neutralna technologicznie tzn. że nie wskazuje obowiązkowych technicznych metod realizacji odpowiednich zabezpieczeń.

Specyfikacja definiuje sześciopunktowy proces planowania wdrożenia SZBI:

  1. Definicja Polityki Bezpieczeństwa
  2. Definicja zakresu SZBI
  3. Przeprowadzenie szacowania ryzyka
  4. Przygotowanie i realizacja planu postępowania z ryzykiem
  5. Wybór zabezpieczeń i określenie ich celów
  6. Przygotowanie Deklaracji Stosowania

Specyfikacja zawiera szczegóły dotyczące wymaganej dokumentacji (zapisów), odpowiedzialności kierownictwa, audytów wewnętrznych, ciągłego doskonalenia oraz działań korygujących I zapobiegawczych.

W praktyce wdrożenie systemu w firmie jest procesem dosyć czasochłonnym i składa się na wiele niezbędnych zadań do wykonania. Organizacje mogą zdecydować się na samodzielne przygotowanie i wdrożenie systemu jednak z naszego doświadczenia wynika że takie wdrożenie pochłania całkowicie przydzielone zasoby  i ujawnia wiele pytań  i wątpliwości na które ciężko jest znaleźć odpowiedź bez wcześniejszego doświadczenia lub wsparcia zewnętrznego. W związku z powyższym zalecamy skorzystanie z naszych usług w zakresie wdrożenia bądź konsultacji wdrożeniowych.

Standard ISO 27001 nie nakazuje użycia określonych zabezpieczeń bezpieczeństwa ale przywołuje listę zabezpieczeń (Załącznik A) która powinna być uwzględniona razem z towarzyszącym dokumentem ISO/IEC 27002:2017 – Praktyczne zasady zabezpieczania informacji. Druga norma określa opisuje kompleksowy zestaw zabezpieczeń i jest ogólnie uważana za dobre praktyki.

Pozostałe standardy rodziny norm 27000 to:

  • 27003 – norma zawierająca wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy ich wdrożeniu.
  • 27004 – norma dotycząca opomiarowania zarówno procesów zarządzania bezpieczeństwem jak i poszczególnych zabezpieczeń funkcjonujących w ramach systemów zarządzania bezpieczeństwem informacji.
  • 27005 – norma zawierająca wskazówki dotyczące zarządzania ryzykiem w bezpieczeństwie informacji
  • 27006 – norma określająca wymagania dla jednostek przeprowadzających audyty certyfikacyjne systemów zarządzania bezpieczeństwem informacji.
  • 27007 – norma określająca wskazówki zarządzania programem audytu SZBI zgodnego z ISO/IEC 27001