Jakie normy należą do rodziny ISO 27000? – sprawdź, które z nich możesz wdrożyć i certyfikować w swojej organizacji.
Rodzina norm ISO 27000, to seria najlepszych praktyk pomagających organizacjom w poprawie bezpieczeństwa informacji.
Seria, opublikowana przez ISO (Międzynarodową Organizację Normalizacyjną) i IEC (Międzynarodową Komisję Elektrotechniczną), wyjaśnia, jak wdrożyć najlepsze praktyki w zakresie bezpieczeństwa informacji.
System Zarządzania Bezpieczeństwem Informacji to systematyczne podejście do zarządzania ryzykiem, zawierające środki odnoszące się do trzech filarów bezpieczeństwa informacji: ludzi, procesów i technologii.
Seria składa się z 46 indywidualnych norm, w tym ISO 27000, która stanowi wprowadzenie do rodziny, a także wyjaśnia kluczowe terminy i definicje.
Nie potrzebujesz dogłębnego zrozumienia norm ISO, aby zobaczyć, jak działa seria, ponieważ niektóre normy nie będą odpowiednie dla Twojej organizacji, ale jest kilka podstawowych, z którymi powinieneś się zapoznać.
ISO/IEC 27001
Jest to główny standard w serii ISO 27000, zawierający wymagania wdrożeniowe dla Systemu Zarządzania Bezpieczeństwem Informacji.
ISO/IEC 27001 jest międzynarodowo rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji. Standard ten ma zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa. Spektrum tych organizacji jest zatem bardzo szerokie: firmy, banki, jednostki administracji publicznej różnych szczebli, jednostki służby zdrowia, organizacje non-profit.
Ochrona informacji, wspomagana przez wymagania ISO/IEC 27001, nie ogranicza się wyłącznie do informacji przechowywanych w formie elektronicznej na komputerze lecz dotyczy wszystkich informacji przetwarzanych w dowolnej formie np. wydrukowanych lub zapisanych na papierze, przechowywanych w formie elektronicznej na dowolnym nośniku informacji, przetwarzanych w różnych systemach informatycznych i środowiskach przetwarzania, przesyłanych pocztą tradycyjną oraz elektroniczną, przedstawianych na obrazach i filmach, zapisanych na nagraniach dźwiękowych lub przekazywanych w trakcie rozmowy.
Niezależnie od formy przetwarzania informacji oraz stosowanych metod i narzędzi, standard ISO/IEC 27001 pomaga organizacjom stworzyć odpowiednie warunki ochrony informacji.
Certyfikat ISO/IEC 27001 jest obiektywnym dowodem, że wszystkie procesy realizowane w Państwa organizacji zorientowane są na zapewnienie bezpieczeństwa informacjom.
ISO/IEC 27002
Jest to dodatkowa norma, która zawiera przegląd mechanizmów zabezpieczeń bezpieczeństwa informacji, które organizacje mogą zaimplementować.
Organizacje są zobowiązane do przyjęcia zabezpieczeń, które uznają za stosowne - co stanie się oczywiste podczas oceny ryzyka.
Zabezpieczenia opisano w załączniku A do normy ISO/IEC 27001 a ISO/IEC 27002 zawiera bardziej kompleksowy przegląd, wyjaśniający, jak działa każde zabezpieczenie, jaki jest jego cel i jak można go wdrożyć.
ISO/IEC 27017 i ISO/IEC 27018
Te dodatkowe normy ISO zostały wprowadzone w 2015 roku, wyjaśniając, w jaki sposób organizacje powinny chronić poufne informacje w chmurze.
Stało się to szczególnie ważne ostatnio, ponieważ organizacje przenoszą większość swoich poufnych informacji na serwery online.
ISO/IEC 27017 to kodeks postępowania dotyczący bezpieczeństwa informacji, zawierający dodatkowe informacje o tym, jak stosować zabezpieczenia z Załącznika A do informacji przechowywanych w chmurze.
Zgodnie z ISO/IEC 27001 możesz traktować je jako osobny zestaw zabezpieczeń. Dlatego wybierasz zestaw elementów sterujących z załącznika A dla „normalnych” danych i zestaw elementów sterujących z normy ISO/IEC 27017 dla danych w chmurze.
Norma ISO/IEC 27018 działa zasadniczo w ten sam sposób, ale z dodatkowym uwzględnieniem danych osobowych.
ISO/IEC 27701
Jest to najnowszy standard z serii ISO 27000, obejmujący czynności, które organizacje muszą zrobić podczas wdrażania PIMS (system zarządzania informacjami o prywatności).
Standard ten został utworzony w odpowiedzi na RODO (ogólne rozporządzenie o ochronie danych), które nakazuje organizacjom przyjęcie „odpowiednich środków technicznych i organizacyjnych” w celu ochrony danych osobowych, ale nie określa, jak powinny to robić.
ISO/IEC 27701 wypełnia tę lukę, zasadniczo wiążąc kontrolę przetwarzania prywatności z ISO/IEC 27001.
Dlaczego warto korzystać z normy serii ISO 27000?
Naruszenie danych to jedno z największych zagrożeń bezpieczeństwa informacji, na jakie narażone są organizacje. Wrażliwe dane są obecnie wykorzystywane we wszystkich obszarach działalności.
Niezliczone incydenty mają miejsce każdego miesiąca, niezależnie od tego, czy są to cyberprzestępcy włamujący się do bazy danych, czy pracownicy wykorzystują informacje w nieuprawniony czy nieuczciwy sposób. W przypadku wycieku danych, szkody finansowe i reputacyjne spowodowane naruszeniem mogą być katastrofalne.
Dlatego organizacje coraz intensywniej inwestują w swoje zabezpieczenia, stosując ISO/IEC 27001.
ISO/IEC 27001 można zastosować w organizacjach dowolnej wielkości i w dowolnym sektorze, a szeroki zakres ram oznacza, że ich wdrażanie zawsze będzie odpowiednie do wielkości firmy.
Jakie normy można poddać certyfikacji ?
Podstawą certyfikacji jest norma ISO/IEC 27001. Organizacje mogą dodać do zakresu certyfikacji normę ISO/IEC 27017, ISO 27018, ISO/IEC 27701.
Jeśli interesuje Cię wycena certyfikacji z obszaru bezpieczeństwa informacji to zachęcamy do kontaktu.