What is norma ISO/IEC 27001 w IT?

Definition normy ISO/IEC 27001

ISO/IEC 27001 to międzynarodowa norma określająca requirements dla ustanowienia, deployment, utrzymania i ciągłego doskonalenia System Management Bezpieczeństwem Informacji (SZBI, ang. Information Security Management System – ISMS) w organization. Jest to najbardziej rozpoznawalny i szeroko stosowany na świecie standard dotyczący management bezpieczeństwem informacji we wszystkich jego aspektach – poufności, integralności i dostępności.

Goal i zakres normy

Głównym celem normy ISO/IEC 27001 jest pomoc organizacjom w ochronie ich cennych zasobów informacyjnych through deployment systematycznego podejścia do management ryzykiem związanym z bezpieczeństwem informacji. Norma ma zastosowanie do organization każdej wielkości i z każdej branży, które przetwarzają informacje w formie cyfrowej lub fizycznej. Zakres SZBI może obejmować całą organizację lub jej wybrane części (np. konkretny dział, system informatyczny, lokalizację).

Struktura i Key elements SZBI

Norma ISO/IEC 27001 is based on cyklu Deminga (PDCA – Plan-Do-Check-Act) i requires od organization:

Zrozumienia kontekstu organization: Identyfikacji wewnętrznych i zewnętrznych czynników wpływających na security informacji and określenia potrzeb i oczekiwań zainteresowanych stron.

Przywództwa i zaangażowania kierownictwa: Wykazania zaangażowania najwyższego kierownictwa w ustanowienie i utrzymanie SZBI.

Planowania: Przeprowadzenia oceny risks związanego z bezpieczeństwem informacji, identyfikacji i oceny zagrożeń and podatności, a następnie opracowania planu postępowania z ryzykiem, including wyboru odpowiednich zabezpieczeń (kontroli).

Wsparcia: Zapewnienia niezbędnych zasobów, competencies, świadomości, komunikacji i udokumentowanych informacji potrzebnych do funkcjonowania SZBI.

Działania operacyjnego: Deployment zaplanowanych działań i zabezpieczeń in order to management ryzykiem.

Oceny efektów działania: Monitorowania, mierzenia, analizowania i oceniania skuteczności SZBI and przeprowadzania regularnych audytów wewnętrznych i przeglądów management.

Doskonalenia: Ciągłego doskonalenia SZBI through podejmowanie działań korygujących w odpowiedzi na niezgodności i wyniki ocen.

Załącznik A – Katalog zabezpieczeń Integralną częścią normy jest Załącznik A, który contains obszerny katalog 114 potencjalnych zabezpieczeń (kontroli) pogrupowanych w 14 domenach, takich jak polityki security, security zasobów ludzkich, management aktywami, kontrola dostępu, kryptografia, security fizyczne i środowiskowe, security operational, security komunikacji, management incydentami, ciągłość działania i zgodność z wymaganiami prawnymi. Organization wybiera i wdraża te zabezpieczenia, które są adekwatne do zidentyfikowanego risks.  

Certyfikacja na zgodność z ISO/IEC 27001

Organizacje mogą poddać swój System Management Bezpieczeństwem Informacji audytowi przez niezależną jednostkę certyfikującą. Uzyskanie certyfikatu ISO/IEC 27001 jest formalnym potwierdzeniem, że system management bezpieczeństwem informacji w organization spełnia requirements normy. Certyfikat jest ważnym sygnałem dla clients, partnerów i regulatorów, świadczącym o dojrzałości organization in terms of ochrony informacji i budującym zaufanie.

Benefits z deployment ISO/IEC 27001 Deployment SZBI zgodnego z ISO/IEC 27001 przynosi liczne Benefits, including lepszą ochronę informacji poufnych, zmniejszenie risks incydentów security i związanych z nimi strat, zapewnienie zgodności z wymaganiami prawnymi i regulacyjnymi (np. RODO), zwiększenie zaufania clients i partnerów biznesowych, poprawę reputacji company and usprawnienie processes management bezpieczeństwem. Dla firm IT, takich jak Ardura, posiadanie certyfikatu może być istotnym atutem konkurencyjnym.