ISO/IEC 27001
ISO/IEC 27001, właśc. PN-EN ISO/IEC 27001:2023-08 – norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiej normy BS 7799-2 opublikowanego przez BSI.
PN-EN ISO/IEC 27001:2023-08 jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty[1].
Historia zmian
[edytuj | edytuj kod]Norma została ogłoszona 14 października 2005 r. na podstawie brytyjskiej normy BS 7799-2 opublikowanego przez British Standards Institution. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005, czyli polską wersję brytyjskiego standardu BS 7799-2.
2 grudnia 2014 roku PN-ISO/IEC 27001:2007 została wycofana i zastąpiona normą PN-ISO/IEC 27001:2014-12.[2]. Tę z kolei zastąpiono, opublikowaną 10 stycznia 2018 roku, normą PN-ISO/IEC 27001:2017-06[3]. Najnowszą edycję, czyli PN-EN ISO/IEC 27001:2023-08 opublikowano w sierpniu 2023 r., jednocześnie wycofano PN-EN ISO/IEC 27001:2017-06[4].
PN-EN ISO/IEC 27001:2023-08
[edytuj | edytuj kod]Najnowsza wersja normy promuje holistyczne podejście do zarządzania bezpieczeństwem informacji. Obejmuje ona nie tylko technologie, ale także ludzi i procesy. To, czy system zarządzania bezpieczeństwem informacji będzie działać prawidłowo, zależy od zintegrowanego podejścia do tych trzech obszarów strategicznych.
W obliczu rosnącej cyberprzestępczości i stale pojawiających się nowych zagrożeń, zarządzanie bezpieczeństwem informacji w każdej organizacji jest kluczowym elementem strategicznym i jednocześnie może wydawać się trudne lub wręcz niemożliwe. Norma PN-EN ISO/IEC 27001 pomaga organizacjom w sposób świadomy chronić gromadzone informacje, budować bezpieczne procesy ich przetwarzania, uwzględniając zmieniające się zewnętrzne i wewnętrzne ryzyka.
– informuje Polska Komisja Normalizacyjna na swojej stronie internetowej[5].
Obszary normy
[edytuj | edytuj kod]W normie ISO/IEC 27001:2005 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:
- Polityka bezpieczeństwa;
- Organizacja bezpieczeństwa informacji;
- Zarządzanie aktywami;
- Bezpieczeństwo zasobów ludzkich;
- Bezpieczeństwo fizyczne i środowiskowe;
- Zarządzanie systemami i sieciami;
- Kontrola dostępu;
- Zarządzanie ciągłością działania;
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
- Zgodność z wymaganiami prawnymi i własnymi standardami.
Cykl Deminga
[edytuj | edytuj kod]Norma PN-ISO/IEC 27001 stosuje znany już dobrze model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA), który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI został zdefiniowany jako:
- Planuj – ustanowienie SZBI – ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
- Wykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
- Sprawdzaj – monitorowanie i przegląd SZBI – pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
- Działaj – utrzymanie i doskonalenie SZBI – podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.
Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma PN-ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A, Tablica A.1). Załącznik A jest obligatoryjny. Cele stosowania zabezpieczeń i zabezpieczenia zawarte w tablicy A.1 wynikają bezpośrednio i są zgodne z wymienionymi w ISO/IEC 27002.
Powiązane akty prawne
[edytuj | edytuj kod]Obecnie w obszarze prawa polskiego funkcjonuje kilka ustaw dotyczących ochrony informacji np.:
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781)
- Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. z 2024 r. poz. 632)
- Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773).
Plany rozwoju norm serii ISO/IEC 27000
[edytuj | edytuj kod]W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 – słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) – praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003 – porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 – system zarządzania bezpieczeństwem informacji – wskaźniki i pomiar, oraz ISO/IEC 27005 (obecnie BS 7799-3) – zarządzanie ryzykiem bezpieczeństwa informacji.
Zobacz też
[edytuj | edytuj kod]- ISO/IEC 27002
- Polityka bezpieczeństwa
- Bezpieczeństwo teleinformatyczne
- Ochrona danych osobowych
- Informacja niejawna
Przypisy
[edytuj | edytuj kod]- ↑ Rejestr certyfikatów ISO 27001 w Polsce. PBSG. [zarchiwizowane z tego adresu (2016-03-09)].
- ↑ PKN – System sprzedaży cyfrowej produktów i usług. Polski Komitet Normalizacyjny.
- ↑ PKN – System sprzedaży cyfrowej produktów i usług. Polski Komitet Normalizacyjny.
- ↑ ISO 27001. Aktualizacja normy kluczowej dla bezpieczeństwa informacji [online], LexDigital, 12 kwietnia 2024 [dostęp 2024-04-12] (pol.).
- ↑ Nowa wersja normy PN-EN ISO/IEC 27001:2023-08 | Polski Komitet Normalizacyjny [online], www.pkn.pl [dostęp 2024-04-12] .