Zmiany w Systemach Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001
Systemy Zarządzania Bezpieczeństwem Informacji zostały stworzone, aby chronić dane w firmach i organizacjach z nimi współpracujących. Do zadań SZBI należy nie tylko zachowanie prywatności (poufności), ale także zapewnienie jednolitości i czytelności danych.
Stare przysłowie mówi, że ‘wiedza to siła’, dlatego systemy zarządzania, które mają za zadanie chronić ‘wiedzę’ organizacji są ważnym i silnym narzędziem.
Systemy Bezpieczeństwa Informacji są przeznaczone nie tylko dla firm mającym związek z technologiami informacyjnymi gdyż informacja może być przechowywana na wiele sposobów.
Na przykład SZBI sprawdza zarówno poziom zabezpieczeń fizycznych (takich jak drzwi, okna, zamki, bramy) jak i aspekt ludzki (w tym badania przesiewowe i zapewnienie odpowiedniego dostępu do informacji poufnych).
ISO/IEC 27001 nie został stworzony, aby odstraszyć labiryntem technologicznych pojęć, ani zachęcać do zachowań ‘szpiegowskich’. Jest zaprojektowany, jako przewodnik dla organizacji, jak chronić dane, zarówno własne jak i swoich klientów.
ISO/IEC 27001:2013 Technika informatyczna - Techniki bezpieczeństwa - System Zarządzania Bezpieczeństwem Informacji – Wymagania (pełna nazwa standardu) został wprowadzony w październiku 2013 i zastępuje pierwszą wersję standardu, wprowadzoną w 2005 roku.
ISO/IEC 27002 (Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji), kolejna cenna norma została, także została zaktualizowana. Chociaż jest to tylko zbiór wytycznych, (co oznacza, że nie można go auditować), to dostarcza wielu wyjaśnień do klauzul, kontroluje i pomaga nawet najbardziej doświadczonym audytorom w niektórych z trudniejszych elementów standardu.
Czy poprzednia wersja standardu jest całkiem przestarzała?
ISO/IEC 27001:2005 nie zdezaktualizowało się z dnia na dzień. Podobnie jak w przypadku innych standardów, które zostały zrewidowane, te organizacje, które są obecnie certyfikowane na podstawie pierwotnego standardu, będą mieć "okres przejściowy", aby uaktualnić swoje istniejące certyfikaty do nowego standardu. W tym konkretnym przypadku "okres przejściowy" trwa do 30 września 2015 roku.
ISOQAR przygotował wytyczne dla wszystkich dotychczasowych klientów certyfikujących ISO/IEC 27001:2005 i naszych audytorów w celu ustalenia najbardziej odpowiednich działań i ram czasowych dla tych firm, które będą musiały uaktualnić swoje procedury, na wizytacjach w ramach przeglądu.
Każda firma, która obecnie rozpoczyna proces certyfikacji SZBI będzie automatycznie certyfikowana zgodnie z wymaganiami normy z 2013 roku. Planujemy wydawać pierwsze certyfikaty zgodne z normą ISO/IEC 27001:2013 od marca 2014 roku.
Jakie zmiany wprowadza aktualizacja normy?
ISO/IEC 27001 można podzielić na 3 obszary: klauzule od 0 do 3, klauzule od 4 do 10 i załącznika A.
Klauzule 0 do 3
Główną zmianą w ramach klauzul od 0 do 3 jest to, że od firmy nie jest już wymagane, aby opierała swój SZBI na modelu PDCA. Nastąpiła również zmiana definicji ryzyka.
Firmy mają teraz swobodę wyboru podejścia procesowego, dobierają takie, które najbardziej im odpowiada. Cykl PDCA nadal może być wybrany, jeśli jest odpowiedni dla firmy.
Ryzyko definiuje się obecnie, jako "efekt niepewności osiągnięcia celów", chociaż definicja ta nie znajduje się bezpośrednio w standardzie, to jest przytoczona w "ISO/IEC 27000 Przegląd i Słownictwo” którego norma dotyczy. Dodatkowo, ryzyko niekoniecznie musi być silnie związane z zasobami informacyjnymi.
Klauzule od 4 do 10
Klauzule od 4 do 10 są przeredagowane pod kątem zgodności z załącznikiem SL (formalnie ISO Guide 83) - nowym "wzorcem" dla wszystkich norm dotyczących systemów zarządzania. Zmian dokonano w celu usprawnia i uproszczenia poprzednich klauzul od 4 do 8. Mają one ułatwić integrację różnych standardów.
Klauzula 4 wymaga od firmy podczas tworzenia SZBI wzięcia pod uwagę "kontekstu organizacji" (jest to zmiana z załącznika SL i będzie miała zastosowanie do wszystkich norm dotyczących systemów zarządzania). Kontekst organizacji zawiera w sobie kwestie zewnętrzne i wewnętrzne oraz skupia się na interesach zainteresowanych stron i zgodności z aspektami prawnymi.
Klauzula 5.2 jasno określa wymagania polityki SZBI. Zmiany sprawiają, że wymogi polityki SZBI są bardziej spójne z innymi standardami i nawiązują do celów.
Cele (klauzula 6.2) są jaśniej określone w nowej wersji i są silniej powiązane z działaniami zapobiegawczymi, oceną ryzyka i planami postępowania z ryzykiem i mechanizmami kontroli.
W nowej wersji jasno przedstawione są zależności, "kontekst organizacji" prowadzi do celów. Ocena ryzyka wskazuje "efekt niepewności osiągnięcia celów". Działania prewencyjne są określone w planie postępowania z ryzykiem, co prowadzi do celów stosowania zabezpieczeń i zabezpieczeń określonych w Załączniku A (i / lub w innych źródłach). Są one wymienione w ‘Warunkach stosowania’.
ISO/IEC 27001:2013 nadal wymaga od firmy brania pod uwagę Zabezpieczeń wymienionych w Załączniku A, ale mogą wybrać do identyfikacji inne "z dowolnego źródła".
Zasada dotycząca tego, że audytor wewnętrzny nie audituje swojej własnej pracy została zniesiona (co powinno pomóc małym firmom).
Ponadto obowiązkowa procedura "Dokumentowania informacji" teraz łączy wymagania "Nadzoru nad dokumentacją" oraz "Nadzoru nad zapisami".
Załącznik A
W Załączniku A zaszły istotne usprawnienia i poprawy. Zniknęły niektóre powtórzenia i niejasne zabezpieczenia.
Obecnie jest mniej zabezpieczeń rozłożonych na więcej celów. Chociaż wiele zabezpieczeń pozostało bez zmian albo jest bardzo podobnych często wspierają one różne cele, więc nacisk mógł ulec zmianie.
Prawdopodobnie docenicie Państwo fakt, że zmian w standardzie jest o wiele więcej i są zbyt liczne, by wymienić je tylko w tym artykule, dlatego ich pełna lista jest dostępna dla klientów ISOQAR do porównania z poprzednią wersją normy.
Dobrą praktyką dla wszystkich firm jest wykonywanie przeglądu zabezpieczeń i Deklaracji Stosowania (SOA), co najmniej raz w roku. ISO/IEC 27001:2013 jest dobrym ‘ćwiczeniem’ do przeglądu i oceny obu dokumentów.
Podsumowanie
Podsumowując, zmiany wprowadzone w ISO?IEC 27001:2013 są uproszczeniem standardu i dostosowaniem go do reszty norm dotyczących systemów zarządzania i sprawiają, że cele są bardziej taktyczne niż strategiczne. Jest mało prawdopodobne, aby organizacje które już posiadają certyfikat ISO/IEC 27001:2005 ucierpiały z powodu zmian - w rzeczywistości mogą one spojrzeć na SZBI jako na bardziej logiczny System. Mamy nadzieję, że dla tych, którzy chcą uzyskać certyfikat po raz pierwszy, system okaże się naprawdę jasny i czytelny.
Zadzwoń pod numer +48 22 649 76 64 i zapytaj o to jakie kroki musisz podjąć w swojej firmie aby uzyskać certyfikat ISO/IEC 27001.