Jakie normy należą do rodziny ISO 27000
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/Jakie normy należą do rodziny ISO 27000

Jakie normy należą do rodziny ISO 27000

Jakie normy należą do rodziny ISO 27000? – sprawdź, po które z nich warto sięgnąć wdrażając skuteczny system zarządzania bezpieczeństwem informacji

 

W dobie cyfryzacji i rosnącej liczby zagrożeń związanych z cyberbezpieczeństwem, ochrona informacji stała się priorytetem dla każdej organizacji. Właśnie w tym kontekście rodzina norm ISO/IEC 27000, dostarcza kompleksowego zestawu wytycznych i najlepszych praktyk, które pomagają organizacjom w tworzeniu, wdrażaniu, utrzymywaniu i doskonaleniu systemu zarządzania bezpieczeństwem informacji (SZBI).

 

Seria, opublikowana przez ISO (Międzynarodową Organizację Normalizacyjną) i IEC (Międzynarodową Komisję Elektrotechniczną), wyjaśnia, jak wdrożyć najlepsze praktyki w zakresie bezpieczeństwa informacji.

 

System Zarządzania Bezpieczeństwem Informacji to systematyczne podejście do zarządzania ryzykiem, zawierające środki odnoszące się do trzech filarów bezpieczeństwa informacji: ludzi, procesów i technologii.

 

Seria składa się z ponad 40 indywidualnych norm, w tym ISO 27000, która stanowi wprowadzenie do rodziny, a także wyjaśnia kluczowe terminy i definicje.

 

Czym jest rodzina norm ISO/IEC 27000?

Rodzina norm ISO/IEC 27000 obejmuje szereg standardów, które koncentrują się na różnych aspektach zarządzania bezpieczeństwem informacji. Każda z norm adresuje inne potrzeby i wyzwania, z którymi mogą się spotkać organizacje.

 

Kluczowe normy z rodziny ISO/IEC 27000

  • ISO/IEC 27000 - "Technologia informacyjna — Techniki zabezpieczeń — Systemy zarządzania bezpieczeństwem informacji — Przegląd i słownik": Jest to norma wprowadzająca, która dostarcza przeglądu oraz podstawowych definicji dotyczących systemów zarządzania bezpieczeństwem informacji.
  • ISO/IEC 27001:2022 - "Technologia informacyjna — Techniki zabezpieczeń — Systemy zarządzania bezpieczeństwem informacji — Wymagania": Jest główną normą określającą wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Certyfikacja według tej normy jest szeroko uznawana na całym świecie.
  • ISO/IEC 27002:2022 - "Technologia informacyjna — Techniki zabezpieczeń — Praktyczne zasady zabezpieczeń informacji": Ta norma dostarcza praktycznych wskazówek dotyczących wdrażania zabezpieczeń, które są zgodne z wymaganiami ISO/IEC 27001.
  • ISO/IEC 27003 - "Technologia informacyjna — Techniki zabezpieczeń — Wytyczne wdrażania": Zawiera wytyczne dotyczące wdrażania systemów zarządzania bezpieczeństwem informacji, wspierając organizacje w efektywnym wdrożeniu i utrzymaniu SZBI.
  • ISO/IEC 27004 - "Technologia informacyjna — Techniki zabezpieczeń — Zarządzanie programem monitorowania, pomiaru, analizy i oceny": Dostarcza wytycznych dotyczących pomiarów efektywności systemów zarządzania bezpieczeństwem informacji oraz metod monitorowania i analizy.
  • ISO/IEC 27005 - "Technologia informacyjna — Techniki zabezpieczeń — Zarządzanie ryzykiem bezpieczeństwa informacji": Norma skoncentrowana jest na zarządzaniu ryzykiem, dostarcza wytycznych dotyczących oceny i zarządzania ryzykiem związanym z bezpieczeństwem informacji.
  • ISO/IEC 27006 - "Technologia informacyjna — Techniki zabezpieczeń — Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji": Określa wymagania dla jednostek certyfikujących, zapewniając, że certyfikacja SZBI odbywa się zgodnie z najwyższymi standardami.
  • ISO/IEC 27007 - "Technologia informacyjna — Techniki zabezpieczeń — Wytyczne audytu systemów zarządzania bezpieczeństwem informacji": Dostarcza wytycznych dotyczących audytu systemów zarządzania bezpieczeństwem informacji, wspierając audytorów w przeprowadzaniu efektywnych i rzetelnych audytów wewnętrznych.
  • ISO/IEC 27008 - "Technologia informacyjna — Techniki zabezpieczeń — Wytyczne oceny zabezpieczeń": Zawiera wytyczne dotyczące oceny zabezpieczeń informacji, wspierając audytorów i specjalistów ds. bezpieczeństwa w ocenie skuteczności wdrożonych zabezpieczeń.
  • ISO/IEC 27009 - "Technologia informacyjna — Techniki zabezpieczeń — Wytyczne dla sektorowych SZBI": Dostarcza wytycznych dotyczących wdrażania specyficznych dla danego sektora systemów zarządzania bezpieczeństwem informacji.
  • ISO/IEC 27017 - "Technologia informacyjna — Techniki zabezpieczeń — Kodeks postępowania dla kontroli bezpieczeństwa informacji w usługach w chmurze": Skupia się na specyficznych zagrożeniach i zabezpieczeniach związanych z usługami chmurowymi.
  • ISO/IEC 27018 - "Technologia informacyjna — Techniki zabezpieczeń — Kodeks postępowania dla ochrony danych osobowych w chmurze publicznej": Daje wytyczne dotyczące ochrony danych osobowych przetwarzanych w usługach chmury publicznej.
  • ISO/IEC 27701 - "Technologia informacyjna — Techniki zabezpieczeń — Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dla zarządzania prywatnością — Wymagania i wytyczne": To rozszerzenie normy ISO/IEC 27001, które koncentruje się na zarządzaniu prywatnością i ochroną danych osobowych.

 

ISO/IEC 27001

Jest to główny standard w serii ISO 27000, zawierający wymagania wdrożeniowe dla Systemu Zarządzania Bezpieczeństwem Informacji.

 

ISO/IEC 27001 jest międzynarodowo rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji. Standard ten ma zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa. Spektrum tych organizacji jest zatem bardzo szerokie: firmy, banki, jednostki administracji publicznej różnych szczebli, jednostki służby zdrowia, organizacje non-profit.

 

Ochrona informacji, wspomagana przez wymagania ISO/IEC 27001, nie ogranicza się wyłącznie do informacji przechowywanych w formie elektronicznej na komputerze lecz dotyczy wszystkich informacji przetwarzanych w dowolnej formie np. wydrukowanych lub zapisanych na papierze, przechowywanych w formie elektronicznej na dowolnym nośniku informacji, przetwarzanych w różnych systemach informatycznych i środowiskach przetwarzania, przesyłanych pocztą tradycyjną oraz elektroniczną, przedstawianych na obrazach i filmach, zapisanych na nagraniach dźwiękowych lub przekazywanych w trakcie rozmowy.

 

Niezależnie od formy przetwarzania informacji oraz stosowanych metod i narzędzi, standard ISO/IEC 27001 pomaga organizacjom stworzyć odpowiednie warunki ochrony informacji.

 

Certyfikat ISO/IEC 27001 jest obiektywnym dowodem, że wszystkie procesy realizowane w Państwa organizacji zorientowane są na zapewnienie bezpieczeństwa informacjom.

 

ISO/IEC 27002

Jest to dodatkowa norma, która zawiera szczegółowe wytyczne dotyczące wdrożenia 93 zabezpieczeń wymienionych w załączniku A do normy ISO/IEC 27001.

 

ISO/IEC 27002 zawiera praktyczne wskazówki, dobre praktyki i przykłady dotyczące tego, jak te zabezpieczenia wdrożyć. Warto również zaznaczyć, że norma ISO/IEC 27002 nie jest podstawą oceny (nie jest certyfikowana) natomiast może okazać się nieocenionym wsparciem zarówno przy wdrażaniu jak i doskonaleniu SZBI.

 

Jeśli chcesz dowiedzieć się więcej na temat normy ISO/IEC 27002 oraz wdrażania zabezpieczeń weź udział w naszym szkoleniu.

 

ISO/IEC 27017 i ISO/IEC 27018

Te dodatkowe normy ISO zostały wprowadzone w 2015 roku, wyjaśniając, w jaki sposób organizacje powinny chronić poufne informacje przetwarzane w chmurze.

 

Jest to szczególnie ważne w kontekście rosnącej tendencji przenoszenia poufnych danych na serwery online.

 

ISO/IEC 27017 to kodeks postępowania dotyczący bezpieczeństwa informacji w chmurze, który dostarcza szczegółowych wskazówek na temat stosowania środków zabezpieczających z Załącznika A normy ISO/IEC 27001, do informacji przechowywanych w chmurze. W ramach SZBI, norma ta może być traktowana jako osobny zestaw zabezpieczeń, co oznacza, że organizacje mogą stosować zabezpieczenia z Załącznika A dla informacji przechowywanych tradycyjnie oraz inny zestaw z ISO/IEC 27017 dla informacji przetwarzanych w chmurze.

 

Z kolei ISO/IEC 27018 działa na podobnej zasadzie, lecz koncentruje się na dodatkowej ochronie danych osobowych przechowywanych w chmurze publicznej.

 

ISO/IEC 27701

ISO/IEC 27701 to rozszerzenie normy ISO/IEC 27001, wprowadzone w 2019 roku, koncentrujące się na zarządzaniu prywatnością informacji. Norma ta dostarcza wytycznych dotyczących wdrażania systemu zarządzania informacjami prywatnymi (PIMS) i określa wymagania dla przetwarzania danych osobowych. ISO/IEC 27701 pomaga organizacjom w spełnianiu wymagań regulacyjnych dotyczących ochrony danych osobowych, takich jak RODO (GDPR), poprzez uzupełnienie istniejącego systemu zarządzania bezpieczeństwem informacji (SZBI) o aspekty związane z prywatnością.

 

Korzyści z wdrożenia norm ISO/IEC 27000

Wdrożenie norm z rodziny ISO/IEC 27000 może przynieść organizacjom wiele korzyści, takich jak:

  • Poprawa bezpieczeństwa informacji: Dzięki jasno określonym procedurom i kontrolom, organizacje mogą skuteczniej chronić swoje informacje przed nieautoryzowanym dostępem, naruszeniem poufności, integralności i dostępności.
  • Zgodność z regulacjami: Wiele regulacji prawnych, takich jak RODO (GDPR) czy ustawy o ochronie danych osobowych, wymaga wdrożenia odpowiednich zabezpieczeń informacji. Normy ISO/IEC 27000 pomagają w spełnieniu tych wymagań.
  • Budowanie zaufania: Certyfikacja według ISO/IEC 27001 świadczy o zaangażowaniu organizacji w ochronę informacji, co może budować zaufanie wśród klientów, partnerów biznesowych i innych interesariuszy.
  • Redukcja ryzyka: Systematyczne podejście do zarządzania ryzykiem bezpieczeństwa informacji pozwala na identyfikację i minimalizację potencjalnych zagrożeń.
  • Efektywność operacyjna: Jasno określone procesy i procedury poprawiają efektywność operacyjną, co może prowadzić do oszczędności czasu i zasobów.

 

Jakie normy z rodziny ISO/IEC 27000 można poddać certyfikacji ?

Podstawą certyfikacji jest norma ISO/IEC 27001. Organizacje mogą również włączyć do zakresu certyfikacji normy ISO/IEC 27017, ISO/IEC 27018 oraz ISO/IEC 27701.

 

Jeśli jesteś zainteresowany wyceną certyfikacji z obszaru bezpieczeństwa informacji lub szukasz szkoleń z zakresu systemów zarządzania bezpieczeństwem informacji (SZBI), zachęcamy do kontaktu.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności