- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Czym jest norma ISO 27001?
Międzynarodowa norma ISO 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.
Norma zastąpiła brytyjski standard BS 7799-2:2002. Jest to pierwsza z grupy norm ISO/IEC 27000, która to ma zebrać dotychczasowe opracowania i standardy poświęcone bezpieczeństwu informacji. PKN opracował polskie tłumaczenie tej normy – PN-ISO/IEC 27001:2007.
Norma ISO 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA tj. Plan – Do – Check – Act ), który jest stosowany dla całej struktury procesów SZBI.
Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.
Należy zwrócić uwagę na normatywny załącznik A tej normy, zawierający wymagane zabezpieczenia podzielone na 11 obszarów:
A.5 Polityka bezpieczeństwa
A.6 Organizacja bezpieczeństwa informacji
A.7 Zarządzanie aktywami
A.8 Bezpieczeństwo zasobów ludzkich
A.9 Bezpieczeństwo fizyczne i środowiskowe
A.10 Zarządzanie systemami i sieciami
A.11 Kontrola dostępu
A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
A.14 Zarządzanie ciągłością działania
A.15 Zgodność
Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI w organizacjach małych jak i wielkich koncernach oraz może dotyczyć różnych sektorów branżowych.Istnieje możliwość certyfikacji SZBI na zgodność z wymaganiami normy ISO/IEC 27001:2005
Normy związane: BS 7799-2:2002 – standard brytyjski na podstawie którego opracowana została norma ISO/IEC 27001:2005PN-ISO/IEC 27001:2007 – polskie tłumaczenie normy ISO/IEC 27001:2005ISO/IEC 17799:2005 – norma zawierająca wytyczne, określające w jaki sposób spełnić poszczególne wymagania normy ISO/IEC 27001:2005.
Źródło: http://www.centrum.bezpieczenstwa.pl
Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.
Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.
Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.