W dobie cyfryzacji i rosnącej liczby zagrożeń związanych z cyberbezpieczeństwem, ochrona informacji stała się priorytetem dla każdej organizacji. Właśnie w tym kontekście rodzina norm ISO/IEC 27000, dostarcza kompleksowego zestawu wytycznych i najlepszych praktyk, które pomagają organizacjom w tworzeniu, wdrażaniu, utrzymywaniu i doskonaleniu systemu zarządzania bezpieczeństwem informacji (SZBI).
Seria, opublikowana przez ISO (Międzynarodową Organizację Normalizacyjną) i IEC (Międzynarodową Komisję Elektrotechniczną), wyjaśnia, jak wdrożyć najlepsze praktyki w zakresie bezpieczeństwa informacji.
System Zarządzania Bezpieczeństwem Informacji to systematyczne podejście do zarządzania ryzykiem, zawierające środki odnoszące się do trzech filarów bezpieczeństwa informacji: ludzi, procesów i technologii.
Seria składa się z ponad 40 indywidualnych norm, w tym ISO 27000, która stanowi wprowadzenie do rodziny, a także wyjaśnia kluczowe terminy i definicje.
Rodzina norm ISO/IEC 27000 obejmuje szereg standardów, które koncentrują się na różnych aspektach zarządzania bezpieczeństwem informacji. Każda z norm adresuje inne potrzeby i wyzwania, z którymi mogą się spotkać organizacje.
Jest to główny standard w serii ISO 27000, zawierający wymagania wdrożeniowe dla Systemu Zarządzania Bezpieczeństwem Informacji.
ISO/IEC 27001 jest międzynarodowo rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji. Standard ten ma zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa. Spektrum tych organizacji jest zatem bardzo szerokie: firmy, banki, jednostki administracji publicznej różnych szczebli, jednostki służby zdrowia, organizacje non-profit.
Ochrona informacji, wspomagana przez wymagania ISO/IEC 27001, nie ogranicza się wyłącznie do informacji przechowywanych w formie elektronicznej na komputerze lecz dotyczy wszystkich informacji przetwarzanych w dowolnej formie np. wydrukowanych lub zapisanych na papierze, przechowywanych w formie elektronicznej na dowolnym nośniku informacji, przetwarzanych w różnych systemach informatycznych i środowiskach przetwarzania, przesyłanych pocztą tradycyjną oraz elektroniczną, przedstawianych na obrazach i filmach, zapisanych na nagraniach dźwiękowych lub przekazywanych w trakcie rozmowy.
Niezależnie od formy przetwarzania informacji oraz stosowanych metod i narzędzi, standard ISO/IEC 27001 pomaga organizacjom stworzyć odpowiednie warunki ochrony informacji.
Certyfikat ISO/IEC 27001 jest obiektywnym dowodem, że wszystkie procesy realizowane w Państwa organizacji zorientowane są na zapewnienie bezpieczeństwa informacjom.
Jest to dodatkowa norma, która zawiera szczegółowe wytyczne dotyczące wdrożenia 93 zabezpieczeń wymienionych w załączniku A do normy ISO/IEC 27001.
ISO/IEC 27002 zawiera praktyczne wskazówki, dobre praktyki i przykłady dotyczące tego, jak te zabezpieczenia wdrożyć. Warto również zaznaczyć, że norma ISO/IEC 27002 nie jest podstawą oceny (nie jest certyfikowana) natomiast może okazać się nieocenionym wsparciem zarówno przy wdrażaniu jak i doskonaleniu SZBI.
Jeśli chcesz dowiedzieć się więcej na temat normy ISO/IEC 27002 oraz wdrażania zabezpieczeń weź udział w naszym szkoleniu.
Te dodatkowe normy ISO zostały wprowadzone w 2015 roku, wyjaśniając, w jaki sposób organizacje powinny chronić poufne informacje przetwarzane w chmurze.
Jest to szczególnie ważne w kontekście rosnącej tendencji przenoszenia poufnych danych na serwery online.
ISO/IEC 27017 to kodeks postępowania dotyczący bezpieczeństwa informacji w chmurze, który dostarcza szczegółowych wskazówek na temat stosowania środków zabezpieczających z Załącznika A normy ISO/IEC 27001, do informacji przechowywanych w chmurze. W ramach SZBI, norma ta może być traktowana jako osobny zestaw zabezpieczeń, co oznacza, że organizacje mogą stosować zabezpieczenia z Załącznika A dla informacji przechowywanych tradycyjnie oraz inny zestaw z ISO/IEC 27017 dla informacji przetwarzanych w chmurze.
Z kolei ISO/IEC 27018 działa na podobnej zasadzie, lecz koncentruje się na dodatkowej ochronie danych osobowych przechowywanych w chmurze publicznej.
ISO/IEC 27701 to rozszerzenie normy ISO/IEC 27001, wprowadzone w 2019 roku, koncentrujące się na zarządzaniu prywatnością informacji. Norma ta dostarcza wytycznych dotyczących wdrażania systemu zarządzania informacjami prywatnymi (PIMS) i określa wymagania dla przetwarzania danych osobowych. ISO/IEC 27701 pomaga organizacjom w spełnianiu wymagań regulacyjnych dotyczących ochrony danych osobowych, takich jak RODO (GDPR), poprzez uzupełnienie istniejącego systemu zarządzania bezpieczeństwem informacji (SZBI) o aspekty związane z prywatnością.
Wdrożenie norm z rodziny ISO/IEC 27000 może przynieść organizacjom wiele korzyści, takich jak:
Podstawą certyfikacji jest norma ISO/IEC 27001. Organizacje mogą również włączyć do zakresu certyfikacji normy ISO/IEC 27017, ISO/IEC 27018 oraz ISO/IEC 27701.
Jeśli jesteś zainteresowany wyceną certyfikacji z obszaru bezpieczeństwa informacji lub szukasz szkoleń z zakresu systemów zarządzania bezpieczeństwem informacji (SZBI), zachęcamy do kontaktu.