ISO / IEC 27001 System Zarządzania Bezpieczeństwem Informacji

 

Międzynarodowa norma ISO 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

 

Norma zastąpiła brytyjski standard BS 7799-2:2002. Jest to pierwsza z grupy norm ISO/IEC 27000, która to ma zebrać dotychczasowe opracowania i standardy poświęcone bezpieczeństwu informacji. PKN opracował polskie tłumaczenie tej normy – PN-ISO/IEC 27001:2007.

 

Norma ISO 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA tj. Plan – Do – Check - Act ), który jest stosowany dla całej struktury procesów SZBI.

 

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.

 

Należy zwrócić uwagę na normatywny załącznik A tej normy, zawierający wymagane zabezpieczenia podzielone na 11 obszarów:

 

A.5 Polityka bezpieczeństwa

A.6 Organizacja bezpieczeństwa informacji

A.7 Zarządzanie aktywami

A.8 Bezpieczeństwo zasobów ludzkich

A.9 Bezpieczeństwo fizyczne i środowiskowe

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu

A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych

A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji

A.14 Zarządzanie ciągłością działania

A.15 Zgodność

 

Zastosowanie wytycznych normy daje możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemalże koniecznością. Coraz częściej to właśnie informacja jest najcenniejszym środkiem produkcji, bowiem jej odzyskiwanie w razie utraty jest niezmiernie kosztownym i problematycznym procesem, znacznie trudniejszym niż odtwarzanie jakichkolwiek innych zasobów. Ponadto ujawnienie istotnych informacji może prowadzić do utraty konkurencyjności przez organizację. Z tego też względu informacja powinna w każdym przedsiębiorstwie podlegać szczególnej ochronie.

 

Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI w organizacjach małych jak i wielkich koncernach oraz może dotyczyć różnych sektorów branżowych.

 

Istnieje możliwość certyfikacji SZBI na zgodność z wymaganiami normy ISO/IEC 27001:2005

 

Korzyści z stosowania normy ISO 27001

 

Korzyści wynikające z zastosowania metodologii zarządzania bezpieczeństwem informacji zgodnej z normą ISO 27001, to:

 

  • bezpieczeństwo wszystkich informacji korporacyjnych, zwiększenie wartości firmy
  • jasne określenie uprawnień i odpowiedzialności pracowników
  • realizacja celów firmy poprzez eliminowanie zagrożeń
  • zagwarantowanie kontrahentom, powierzającym certyfikowanym organizacjom swoje dane/informacje, że są one bezpieczne
  • pełna integracja z systemem zarządzania jakością i informatycznym w firmie

 

Wdrożenie Normy ISO 27001 pozwala na zapewnienie:

 

  • poufności - daje gwarancję, że informacje są dostępne tylko i wyłącznie dla autoryzowanych osób - pracowników, posiadających prawo dostępu do danych
  • integralności - zabezpiecza ona dokładność i kompletność zarówno informacji, jak też i stosowanych metod jej ochrony
  • dostępności - gwarancja, że użytkownicy posiadający stosowne uprawnienia mają stały dostęp do informacji i zgromadzonych zasobów.

 


 


 

Jak uzyskać certyfikat wydany przez Noble Cert?

 

Pobierz z naszej strony Arkusz danych do certyfikacji, wprowadź dane i odeślij na

adres e-mail noble@noblecert.pl, a my po otrzymaniu wypełnionego arkusza skontaktujemy

się z Tobą i przygotujemy warunki certyfikacji lub zadzwoń do nas pod numer

+ 48 12 357 16 66,  chętnie odpowiemy na Twoje pytania.

 

Zawsze proponujemy niezobowiązujące spotkanie z ekspertem. Prosimy o wcześniejszy kontakt tak, aby zapobiec wydłużeniu się terminu spotkania. Spotkanie jest bezpłatne.

Nasi klienci

Nasi partnerzy