Norma ISO 27001:2017 umożliwia standaryzację zabezpieczenia systemów informacyjnych

Norma ISO 27001:2017 to międzynarodowy standard w zakresie zarządzania bezpieczeństwem informacji systematyzujący działania prowadzące do zapewnienia w organizacji bezpieczeństwa informacji. Podstawę wyznaczania standardu zarządzania bezpieczeństwem informacji stanowi norma ISO 9001:2015. Organizacja spełniająca wymagania normy ISO 27001:2017 oraz przepisów prawa, do których spełnienia jest zobligowana może przystąpić do procesu certyfikacji polegającego na potwierdzeniu spełnienia wszystkich wymagań normy odniesienia, w tym pozostałych i uzyskaniu obiektywnych dowodów w tym zakresie przez zewnętrzną, niezależną, kompetentną i upoważnioną jednostkę wystawiającą tzw. certyfikat zgodności.

System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001:2017 oparty jest na podejściu procesowym i zgodnie z cyklem modelu PDCA zwraca uwagę na:

-zrozumienie biznesowych wymagań bezpieczeństwa informacji oraz potrzebę ustanowienia polityki i celów bezpieczeństwa informacji;

-wdrażanie i eksploatowanie zabezpieczeń,  w tym organizacyjnych i technicznych w kontekście kompleksowego zarządzania ryzykiem;

-monitorowanie oraz weryfikację wydajności i skuteczności wdrożonego systemu;

-ciągłe doskonalenie w oparciu o wyniki obiektywnych pomiarów;

co zostało dokładnie zawarte w poszczególnych punktach normy odniesienia.

Norma krok po kroku określa czynności jakie organizacja powinna wykonać w celu określenia metodyki szacowania ryzyka wchodzącej w proces szacowania ryzyka powiązany z kontekstem biznesowym, w jakim funkcjonuje organizacja. Dokumentem podsumowującym proces szacowania ryzyka jest deklaracja stosowania SoA – Statement of Applicability, która dokumentuje ustalone przez organizację cele stosowania zabezpieczeń oraz zakładane zabezpieczenia, co zawarto w załączniku A normy odniesienia. Deklaracja stosowania jest w systemie dokumentem obowiązkowym, w tym zastosowanie zabezpieczeń, jak i ich brak wymagany uzasadnieniem.

Algorytm postępowania przy wdrożeniu i uzyskaniu systemu zgodnego z wymaganiami normy ISO 27001:2017:

  1. zapoznanie organizacji z systemem zarządzania bezpieczeństwem informacji
  2. zainicjowanie przez kierownictwo prac związanych z opracowaniem systemu zarządzania bezpieczeństwem informacji
  3. opracowanie diagnozy stanu istniejącego w organizacji
  4. opracowanie projektu systemu zarządzania bezpieczeństwem informacji
  5. szkolenie kadry w zakresie systemu zarządzania bezpieczeństwem informacji
  6. opracowanie dokumentacji systemowej
  7. realizacja planu audytów wewnętrznych
  8. dokonanie przeglądów systemowych
  9. przeprowadzenie procedury certyfikacyjnej
  10. utrzymanie certyfikatu

Autor

Agata Sierpień

Agata Sierpień

Office Manager
Pozostałe posty autora

Powiedz o tym światu

Facebook
LinkedIn

Najnowsze wpisy