Biuro Doradztwa Gospodarczego
Inżynieria Zarządzania
zamknij okienko
strona główna
Bezpieczeństwo informacji
ISO/IEC 27001:2005
ISO/IEC 27001:2005
Reklamy Google
Pojawienie się na rynku nowego standardu ISO/IEC 27001:2005 jest konsekwencją popularyzacji na całym świecie systemu zarządzania bezpieczeństwem informacji.
Nowe oznaczenie standardu wynika z planu stworzenia rodziny standardów bezpieczeństwa ISO 27000.
Takie działanie ma na celu zgromadzenie wszystkich dotychczasowych standardów odnośnie bezpieczeństwa w jednej serii norm:
- ISO 27000 - słownictwo i terminologia (definicje dla wszystkich standardów z tej serii),
- ISO 27001 - specyfikacja systemów zarządzania bezpieczeństwem informacji, na zgodność z którym organizacje będą auditowane,
- ISO 27002 - praktyczne zasady zarządzania bezpieczeństwem, zawiera zbiorczy zestaw mechanizmów bezpieczeństwa informacji, cele kontroli i najlepsze praktyki,
- ISO 27003 - porady i wskazówki dotyczące implementacji serii standardów ISO 27000 w organizacji,
- ISO 27004 - zarządzanie bezpieczeństwem informacji wskaźniki i pomiar,
- ISO 27005 - zarządzanie ryzykiem bezpieczeństwa informacji.
Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji musi zapewnić zgodność tego systemu z wymaganiami normy ISO/IEC 27001:2005.
Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka.
Podstawowe pojęcia
| Bezpieczeństwo informacji | zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu | ||
| Szacowanie ryzyka | całościowy proces analizy i oceny ryzyka | ||
| Ryzyko | prawdopodobieństwo wystąpienia zagrożenia, które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia | ||
| Aktyw | wszystko to, co ma wartość dla organizacji |
Zastosowanie ISO/IEC 27001:2005 pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa informacji koncentrując się na sferze organizacyjnej oraz kontrolując obszary zwiększonego ryzyka, takie jak:
- polityka bezpieczeństwa,
- kontrola dostępu do informacji,
- zabezpieczenia na poziomie organizacyjnym,
- klasyfikacja i kontrola zasobów,
- zarządzanie działaniem urządzeń informatycznych,
- przestrzeganie obowiązujących procedur i przepisów prawa,
- pracownicy,
- zabezpieczenie fizyczne organizacji i otoczenia,
- zarządzanie ciągłością,
- opracowywanie i utrzymywanie systemów informatycznych .
Wyróżnia się wiele bardzo różnorodnych metod ustalania wymagań związanych z bezpieczeństwem informacji, z których niewątpliwie podstawowe to:
- znajomość uregulowań prawnych dotyczących wymaganych działań zapewniających bezpieczeństwo informacji,
- oszacowanie poziomu ryzyka utraty informacji,
- wypracowanie w przedsiębiorstwie odpowiedniej postawy odnośnie zapewnienia bezpieczeństwo informa,
- wskazanie obszarów, w których zachodzi konieczność poprawy.
Jak rozpocząć wdrożenie ISO/IEC 27001:2005?
Wdrażanie standardu ISO/IEC 27001:2005 należy rozpocząć od procesu szacowania ryzyka.
W normie zostały umieszczone zalecenia - elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.
