Normy iso 27001

Czym są normyiso 27001

ISO/IEC 27001 - norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS 7799-2 opublikowanego przez BSI.

W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005 czyli polską wersję brytyjskiego standardu BS 7799-2.

Więcej o normachiso 27001

ISO/IEC 27001:2007 to specyfikacja sys. zarządzania bezpieczeństwem informacji na zgodność z którą mogą być przeprowadzane audyty. Na ich podstawie mozna wydawanać stosowne certyfikaty.

W normie ISO/IEC 27001 wyróżniono kilkanaście obszarów, mających wpływ na bezpieczeństwo informacji w firmie:

  • Polityka bezpieczeństwa;
  • Organizacja bezpieczeństwa informacji;
  • Zarządzanie aktywami;
  • Bezpieczeństwo zasobów ludzkich;
  • Bezpieczeństwo fizyczne i środowiskowe;
  • Zarządzanie systemami i sieciami;
  • Kontrola dostępu;
  • Zarządzanie ciągłością działania;
  • Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
  • Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  • Zgodność z wymaganiami prawnymi i własnymi standardami.

Szczegóły: Cykl Deminga

Norma PN-ISO/IEC 27001 stosuje znany już dobrze model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA), który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI został zdefiniowany jako:

  • Planuj - ustanowienie SZBI - ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
  • Wykonuj - wdrożenie i eksploatacja SZBI - wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
  • Sprawdzaj - monitorowanie i przegląd SZBI - pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
  • Działaj - utrzymanie i doskonalenie SZBI - podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Powiązane akty prawne

Obecnie w obszarze prawa polskiego funkcjonuje kilka ustaw dotyczących ochrony informacji np.: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.); Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Dz. U. z 2010 r. Nr 182, poz. 1228.

Plany rozwoju norm serii ISO/IEC 27001

W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 - słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO /IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 - system zarządzania bezpieczeństwem informacji - wskaźniki i pomiar, oraz ISO/IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.