ISO/IEC 27001: Czym jest 14 celów stosowania zabezpieczeń oraz zabezpi

ISO/IEC 27001: Czym jest 14 celów stosowania zabezpieczeń oraz zabezpieczenia wynikających z Aneksu A

ISO/IEC 27001 to międzynarodowa norma opisująca najlepsze praktyki dla systemu zarządzania bezpieczeństwem informacji (ISMS).

 

Standard przyjmuje oparte na ryzyku podejście do bezpieczeństwa informacji, wymagając od organizacji zidentyfikowania zagrożeń i wyboru odpowiednich mechanizmów kontrolnych, aby je rozwiązać.

 

Zabezpieczenia te przedstawiono w załączniku A do normy. Łącznie jest ich 114, podzielonych na 14 sekcji. Każda sekcja koncentruje się na konkretnym aspekcie bezpieczeństwa informacji.

 

Uwaga! W październiku 2022 opublikowana została nowa wersja normy ISO/IEC 27001 oraz ISO/IEC 27002. Sprawdź co się zmieniło.

 

Cele stosowania zabezpieczeń oraz zabezpieczenia ISO/IEC 27001 są następujące:

  • 5 Polityki bezpieczeństwa informacji (2 zabezpieczenia): W jaki sposób polityki są zapisywane i sprawdzane.
  • 6 Organizacja bezpieczeństwa informacji (7 zabezpieczeń): przypisanie odpowiedzialności za konkretne zadania.
  • 7 Bezpieczeństwo zasobów ludzkich (6 zabezpieczeń): zapewnienie, że pracownicy rozumieją swoje obowiązki przed zatrudnieniem i po opuszczeniu firmy oraz zmianie ról.
  • 8 Zarządzanie aktywami (10 zabezpieczeń): identyfikacja zasobów informacyjnych i określenie odpowiednich obowiązków w zakresie ochrony.
  • 9 Kontrola dostępu (14 zabezpieczeń): zapewnienie, że pracownicy mogą przeglądać tylko te informacje, które są istotne dla ich roli w pracy.
  • 10 Kryptografia (2 zabezpieczenia): szyfrowanie i zarządzanie kluczami poufnych informacji.
  • 11 Bezpieczeństwo fizyczne i środowiskowe (15 zabezpieczeń): zabezpieczenie pomieszczeń i sprzętu organizacji.
  • 12 Bezpieczeństwo operacji (14 zabezpieczeń): zapewnienie, że urządzenia do przetwarzania informacji są bezpieczne.
  • 13 Bezpieczeństwo komunikacji (7 zabezpieczeń): jak chronić informacje w sieciach.
  • 14 Pozyskiwanie, rozwój i konserwacja systemu (13 zabezpieczeń): zapewnienie, że bezpieczeństwo informacji jest centralną częścią systemów organizacji.
  • 15 Relacje z dostawcami (5 zabezpieczeń): umowy, które mają być zawarte w umowach ze stronami trzecimi i jak mierzyć, czy umowy te są utrzymywane.
  • 16 Zarządzanie incydentami bezpieczeństwa informacji (7 zabezpieczeń): jak zgłaszać zakłócenia i naruszenia oraz kto jest odpowiedzialny za niektóre działania.
  • 17 Aspekty bezpieczeństwa informacji w zakresie zarządzania ciągłością działania (4 zabezpieczenia): w jaki sposób rozwiązać problem zakłóceń w działalności.
  • 18 Zgodność (8 zabezpieczeń): jak zidentyfikować prawa i przepisy mające zastosowanie do Twojej organizacji.

 

Czy przygotowanie Aneksu A oraz jego utrzymywanie jest zadaniem dla działu IT?

Jak pokazuje powyższa lista, zabezpieczenia ISO 27001 nie leżą tylko w gestii działu IT organizacji, jak zakłada wiele osób. Przeciwnie, standard odnosi się do każdego z trzech filarów bezpieczeństwa informacji: ludzi, procesów i technologii.

 

Dział IT będzie odgrywał rolę w każdym z nich - oczywiście w technologii, ale także w opracowywaniu procesów i polityk, które zapewniają, że te technologie są właściwie wykorzystywane.

 

Większość mechanizmów kontrolnych będzie wymagać wiedzy specjalistycznej osób z całej organizacji, co oznacza, że organizacja powinna stworzyć zespół wielozadaniowy, aby nadzorować proces wdrażania i utrzymania ISO/IEC 27001.

 

Korzystanie z załącznika A

Organizacje nie muszą wdrażać wszystkich 114 zabezpieczeń opisanych w ISO/IEC 27001. Jest to po prostu lista możliwości, które należy rozważyć w oparciu o wymagania organizacji.

 

Załącznik A zawiera zarys każdego zabezpieczenia, a zespół wdrażający system bezpieczeństwa informacji powinien odnieść się do tych zabezpieczeń podczas przeprowadzania analizy luk ISO/IEC 27001 i oceny ryzyka. Procesy te pomagają organizacjom zidentyfikować zagrożenia, na które są narażone oraz zabezpieczenia, które muszą wdrożyć (lub już wdrożyły), aby im sprostać.

 

Jedynym problemem z Aneksem A jest tylko krótki przegląd każdego zabezpieczenia. Jest to dobre do użytku referencyjnego, ale nie jest pomocne przy aktywnym wdrażaniu kontroli.

 

Pomocny przy tych działaniach może być standard ISO/IEC 27002. Jest to dodatkowy standard w serii ISO 27000, zapewniający szczegółowy przegląd zabezpieczeń bezpieczeństwa informacji.

 

Standard ten poświęca około jednej strony każdemu zabezpieczeniu, wyjaśniając, jak każdy z nich działa i udzielając porad, jak je wdrożyć.

 

Rozpocznij swoją podróż z ISO/IEC 27001 i wprowadź w swojej organizacji najskuteczniejszy system bezpieczeństwa informacji. Aby uzyskać więcej informacji skontaktuj się z naszym biurem telefonicznie, pod numerem tel. 22 649 76 64 lub wyślij wiadomość za pośrednictwem formularza kontaktowego.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności