ISO/IEC 27001 to międzynarodowa norma opisująca najlepsze praktyki dla systemu zarządzania bezpieczeństwem informacji (ISMS).
Standard przyjmuje oparte na ryzyku podejście do bezpieczeństwa informacji, wymagając od organizacji zidentyfikowania zagrożeń i wyboru odpowiednich mechanizmów kontrolnych, aby je rozwiązać.
Zabezpieczenia te przedstawiono w załączniku A do normy. Łącznie jest ich 114, podzielonych na 14 sekcji. Każda sekcja koncentruje się na konkretnym aspekcie bezpieczeństwa informacji.
Uwaga! W październiku 2022 opublikowana została nowa wersja normy ISO/IEC 27001 oraz ISO/IEC 27002. Sprawdź co się zmieniło.
Cele stosowania zabezpieczeń oraz zabezpieczenia ISO/IEC 27001 są następujące:
Czy przygotowanie Aneksu A oraz jego utrzymywanie jest zadaniem dla działu IT?
Jak pokazuje powyższa lista, zabezpieczenia ISO 27001 nie leżą tylko w gestii działu IT organizacji, jak zakłada wiele osób. Przeciwnie, standard odnosi się do każdego z trzech filarów bezpieczeństwa informacji: ludzi, procesów i technologii.
Dział IT będzie odgrywał rolę w każdym z nich - oczywiście w technologii, ale także w opracowywaniu procesów i polityk, które zapewniają, że te technologie są właściwie wykorzystywane.
Większość mechanizmów kontrolnych będzie wymagać wiedzy specjalistycznej osób z całej organizacji, co oznacza, że organizacja powinna stworzyć zespół wielozadaniowy, aby nadzorować proces wdrażania i utrzymania ISO/IEC 27001.
Korzystanie z załącznika A
Organizacje nie muszą wdrażać wszystkich 114 zabezpieczeń opisanych w ISO/IEC 27001. Jest to po prostu lista możliwości, które należy rozważyć w oparciu o wymagania organizacji.
Załącznik A zawiera zarys każdego zabezpieczenia, a zespół wdrażający system bezpieczeństwa informacji powinien odnieść się do tych zabezpieczeń podczas przeprowadzania analizy luk ISO/IEC 27001 i oceny ryzyka. Procesy te pomagają organizacjom zidentyfikować zagrożenia, na które są narażone oraz zabezpieczenia, które muszą wdrożyć (lub już wdrożyły), aby im sprostać.
Jedynym problemem z Aneksem A jest tylko krótki przegląd każdego zabezpieczenia. Jest to dobre do użytku referencyjnego, ale nie jest pomocne przy aktywnym wdrażaniu kontroli.
Pomocny przy tych działaniach może być standard ISO/IEC 27002. Jest to dodatkowy standard w serii ISO 27000, zapewniający szczegółowy przegląd zabezpieczeń bezpieczeństwa informacji.
Standard ten poświęca około jednej strony każdemu zabezpieczeniu, wyjaśniając, jak każdy z nich działa i udzielając porad, jak je wdrożyć.
Rozpocznij swoją podróż z ISO/IEC 27001 i wprowadź w swojej organizacji najskuteczniejszy system bezpieczeństwa informacji. Aby uzyskać więcej informacji skontaktuj się z naszym biurem telefonicznie, pod numerem tel. 22 649 76 64 lub wyślij wiadomość za pośrednictwem formularza kontaktowego.