arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
12.04.2021

Norma ISO 27001:2017 umożliwia standaryzację zabezpieczenia systemów informacyjnych

Adam Dębski

Norma ISO 27001:2017 to międzynarodowy standard w zakresie zarządzania bezpieczeństwem informacji systematyzujący działania prowadzące do zapewnienia w organizacji bezpieczeństwa informacji. Podstawę wyznaczania standardu zarządzania bezpieczeństwem informacji stanowi norma ISO 9001:2015. Organizacja spełniająca wymagania normy ISO 27001:2017 oraz przepisów prawa, do których spełnienia jest zobligowana może przystąpić do procesu certyfikacji polegającego na potwierdzeniu spełnienia wszystkich wymagań normy odniesienia, w tym pozostałych i uzyskaniu obiektywnych dowodów w tym zakresie przez zewnętrzną, niezależną, kompetentną i upoważnioną jednostkę wystawiającą tzw. certyfikat zgodności.

System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001:2017 oparty jest na podejściu procesowym i zgodnie z cyklem modelu PDCA zwraca uwagę na:

-zrozumienie biznesowych wymagań bezpieczeństwa informacji oraz potrzebę ustanowienia polityki i celów bezpieczeństwa informacji;

-wdrażanie i eksploatowanie zabezpieczeń,  w tym organizacyjnych i technicznych w kontekście kompleksowego zarządzania ryzykiem;

-monitorowanie oraz weryfikację wydajności i skuteczności wdrożonego systemu;

-ciągłe doskonalenie w oparciu o wyniki obiektywnych pomiarów;

co zostało dokładnie zawarte w poszczególnych punktach normy odniesienia.

Norma krok po kroku określa czynności jakie organizacja powinna wykonać w celu określenia metodyki szacowania ryzyka wchodzącej w proces szacowania ryzyka powiązany z kontekstem biznesowym, w jakim funkcjonuje organizacja. Dokumentem podsumowującym proces szacowania ryzyka jest deklaracja stosowania SoA – Statement of Applicability, która dokumentuje ustalone przez organizację cele stosowania zabezpieczeń oraz zakładane zabezpieczenia, co zawarto w załączniku A normy odniesienia. Deklaracja stosowania jest w systemie dokumentem obowiązkowym, w tym zastosowanie zabezpieczeń, jak i ich brak wymagany uzasadnieniem.

Algorytm postępowania przy wdrożeniu i uzyskaniu systemu zgodnego z wymaganiami normy ISO 27001:2017:

  1. zapoznanie organizacji z systemem zarządzania bezpieczeństwem informacji
  2. zainicjowanie przez kierownictwo prac związanych z opracowaniem systemu zarządzania bezpieczeństwem informacji
  3. opracowanie diagnozy stanu istniejącego w organizacji
  4. opracowanie projektu systemu zarządzania bezpieczeństwem informacji
  5. szkolenie kadry w zakresie systemu zarządzania bezpieczeństwem informacji
  6. opracowanie dokumentacji systemowej
  7. realizacja planu audytów wewnętrznych
  8. dokonanie przeglądów systemowych
  9. przeprowadzenie procedury certyfikacyjnej
  10. utrzymanie certyfikatu