Norma ISO 27001:2017 to międzynarodowy standard w zakresie zarządzania bezpieczeństwem informacji systematyzujący działania prowadzące do zapewnienia w organizacji bezpieczeństwa informacji. Podstawę wyznaczania standardu zarządzania bezpieczeństwem informacji stanowi norma ISO 9001:2015. Organizacja spełniająca wymagania normy ISO 27001:2017 oraz przepisów prawa, do których spełnienia jest zobligowana może przystąpić do procesu certyfikacji polegającego na potwierdzeniu spełnienia wszystkich wymagań normy odniesienia, w tym pozostałych i uzyskaniu obiektywnych dowodów w tym zakresie przez zewnętrzną, niezależną, kompetentną i upoważnioną jednostkę wystawiającą tzw. certyfikat zgodności.
System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001:2017 oparty jest na podejściu procesowym i zgodnie z cyklem modelu PDCA zwraca uwagę na:
-zrozumienie biznesowych wymagań bezpieczeństwa informacji oraz potrzebę ustanowienia polityki i celów bezpieczeństwa informacji;
-wdrażanie i eksploatowanie zabezpieczeń, w tym organizacyjnych i technicznych w kontekście kompleksowego zarządzania ryzykiem;
-monitorowanie oraz weryfikację wydajności i skuteczności wdrożonego systemu;
-ciągłe doskonalenie w oparciu o wyniki obiektywnych pomiarów;
co zostało dokładnie zawarte w poszczególnych punktach normy odniesienia.
Norma krok po kroku określa czynności jakie organizacja powinna wykonać w celu określenia metodyki szacowania ryzyka wchodzącej w proces szacowania ryzyka powiązany z kontekstem biznesowym, w jakim funkcjonuje organizacja. Dokumentem podsumowującym proces szacowania ryzyka jest deklaracja stosowania SoA – Statement of Applicability, która dokumentuje ustalone przez organizację cele stosowania zabezpieczeń oraz zakładane zabezpieczenia, co zawarto w załączniku A normy odniesienia. Deklaracja stosowania jest w systemie dokumentem obowiązkowym, w tym zastosowanie zabezpieczeń, jak i ich brak wymagany uzasadnieniem.
Algorytm postępowania przy wdrożeniu i uzyskaniu systemu zgodnego z wymaganiami normy ISO 27001:2017:
- zapoznanie organizacji z systemem zarządzania bezpieczeństwem informacji
- zainicjowanie przez kierownictwo prac związanych z opracowaniem systemu zarządzania bezpieczeństwem informacji
- opracowanie diagnozy stanu istniejącego w organizacji
- opracowanie projektu systemu zarządzania bezpieczeństwem informacji
- szkolenie kadry w zakresie systemu zarządzania bezpieczeństwem informacji
- opracowanie dokumentacji systemowej
- realizacja planu audytów wewnętrznych
- dokonanie przeglądów systemowych
- przeprowadzenie procedury certyfikacyjnej
- utrzymanie certyfikatu