ISO 27001 - Bezpieczeństwo Informacji

O normie

Dla kogo:

Zasadnicze znaczenie w podejmowaniu działań w każdej firmie ma INFORMACJA . Norma ISO/EIC 27001 System Zarządzania Bezpieczeństwem Informacji dotyczy więc, każdej organizacji, niezależnie od i jej wielkości, rodzaju prowadzonej działalności oraz bez względu na jej unikatowość, gdyż w każdej z nich przetwarzane są informacje.

Obecny stan rozwoju techniki spowodował, że systemy informatyczne wspierają realizację większości procesów biznesowych. Łatwy dostęp do informacji powoduje niestety szereg zagrożeń. Podstawowy cel ISO/EIC 27001 to ochrona informacji przed bezpowrotna utratą, zniszczeniem, uszkodzeniem lub też przed dostaniem się w "niepowołane ręce". Bezpieczeństwo informacji obejmuje: zabezpieczenia informatyczne, zabezpieczenia fizyczne, odpowiednio sformułowane umowy z dostawcami oraz sformalizowane i przetestowane plany ciągłości działania, a także odpowiednio przeszkolony i świadomy zagrożeń personel.

Oprócz kwestii poufności norma zwraca również uwagę na zapewnienie dostępności informacji.

Opis normy:

ISO/EIC 27001:2013  System Zarządzania Bezpieczeństwem Informacji (ang. ISMS - Information Security Management System) - norma międzynarodowa określająca wymagania dotyczącego tego systemu, cele stosowania zabezpieczeń oraz zabezpieczenia, które powinny być stosowane. Istotą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz implementacja odpowiedniego nadzoru i zarządzania niezbędnego do zachowania poufności, integralności oraz dostępności informacji.

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem ISMS, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami ISMS, przeglądami ISMS oraz ciągłym doskonaleniem ISMS. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania ISMS jest określenie metody oraz przeprowadzenie oceny ryzyka.

Najważniejsze zmiany wprowadzone w nowej normie ISO/EIC 27001:2013 to:

  • wprowadzenie pojęcia kontekstu organizacji,
  • podkreślenie roli przywództwa oraz wykazania zaangażowania kierownictwa w ISMS,
  • rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji,
  • położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka,
  • rozszerzenie postępowania z czynnikami ryzyka o szanse,
  • rozszerzenie zakresu oceny systemu,
  • wprowadzenie wymagań dotyczących komunikacji,
  • rezygnacja z działań zapobiegawczych,
  • uelastycznienie podejścia do dokumentacji,
  • ściślejsze powiązanie zabezpieczeń i postępowaniem z czynnikami ryzyka,
  • wprowadzenie pojęcia właściciela ryzyka.

 

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A). Załącznik A jest obligatoryjny, zawiera 14 obszarów, mających wpływ na bezpieczeństwo informacji w organizacji.


Ważne! Nasza strona internetowa stosuje pliki cookies, tzw. ciasteczka. Kliknij "Zgadzam się", aby niniejsza informacja nie pojawiała się lub kliknij "Polityka prywatności", aby dowiedzieć się więcej.
Polityka prywatności Zgadzam się