Andrea Giesler | 3 czerwca 2019 r.

Norma ISO 27001 zawiera wymagania i strukturę, która zapewni wytyczne dotyczące wdrażania systemu zarządzania bezpieczeństwem informacji (SZBI). Jako system zarządzania ISO 27001 opiera się na ciągłym doskonaleniu – w tym artykule dowiesz się więcej o tym, jak znajduje to odzwierciedlenie w wymaganiach i strukturze ISO 27001.

Dwie główne części normy

Standard jest podzielony na dwie części. Pierwsza, główna część składa się z 11 klauzul (od 0 do 10). Druga część, zwana Aneksem A, zawiera wytyczne dotyczące 114 celów kontroli i kontroli. Rozdziały od 0 do 3 (wprowadzenie, zakres, odniesienia normatywne, terminy i definicje) określają wprowadzenie normy ISO 27001. Poniższe punkty 4 do 10, które zawierają wymagania ISO 27001, które są obowiązkowe, jeśli firma chce zachować zgodność z normą, są bardziej szczegółowo omówione w dalszej części tego artykułu.

Załącznik A do normy wspiera klauzule i ich wymagania wraz z listą kontroli, które nie są obowiązkowe, ale które są wybierane w ramach procesu zarządzania ryzykiem. Więcej informacji można znaleźć w artykule Podstawowa logika ISO 27001: Jak działa bezpieczeństwo informacji?

Klauzula 4: Kontekst organizacji

Jednym z warunków pomyślnego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest zrozumienie kontekstu organizacji. Należy zidentyfikować i rozważyć kwestie zewnętrzne i wewnętrzne, a także zainteresowane strony. Wymagania mogą obejmować kwestie regulacyjne, ale mogą również wykraczać daleko poza.

Mając to na uwadze, organizacja musi zdefiniować zakres SZBI. Jak szeroko będzie stosowana ISO 27001 w firmie?

Przeczytaj więcej o kontekście organizacji w artykułach Jak zdefiniować kontekst organizacji zgodnie z ISO 27001, Jak zidentyfikować zainteresowane strony zgodnie z ISO 27001 i ISO 22301 oraz Jak zdefiniować zakres ISMS.

Rozdział 5: Przywództwo

Wymagania ISO 27001 dotyczące odpowiedniego przywództwa są różnorodne. Zaangażowanie najwyższego kierownictwa jest obowiązkowe dla systemu zarządzania. Cele należy ustalić zgodnie ze strategicznymi celami organizacji. Zapewnienie zasobów potrzebnych SZBI, jak również wspieranie osób wnoszących wkład do SZBI, to inne przykłady obowiązków, które należy spełnić.

Ponadto najwyższe kierownictwo musi ustanowić politykę zgodnie z bezpieczeństwem informacji. Polityka ta powinna być udokumentowana, a także zakomunikowana w organizacji i zainteresowanym stronom.

Role i obowiązki również muszą zostać przypisane, aby spełnić wymagania normy ISO 27001 i raportować wydajność SZBI.

Więcej informacji na temat najwyższego kierownictwa w ISO 27001 można znaleźć w następujących artykułach: Perspektywa najwyższego kierownictwa w zakresie wdrażania bezpieczeństwa informacji, Role i obowiązki najwyższego kierownictwa w ISO 27001 i ISO 22301 oraz Co należy zapisać w swojej Polityce Bezpieczeństwa Informacji zgodnie z ISO 27001?

Rozdział 6: Planowanie

Planowanie w środowisku ISMS powinno zawsze uwzględniać ryzyko i szanse. Ocena ryzyka związanego z bezpieczeństwem informacji stanowi solidną podstawę, na której można polegać. W związku z tym cele bezpieczeństwa informacji powinny opierać się na ocenie ryzyka. Cele te muszą być dostosowane do ogólnych celów firmy. Ponadto cele muszą być promowane w firmie. Zapewniają cele bezpieczeństwa, do których należy dążyć dla wszystkich w firmie i z nią współpracujących. Z oceny ryzyka i celów bezpieczeństwa wyprowadza się plan postępowania z ryzykiem oparty na środkach kontroli wymienionych w załączniku A.

Aby lepiej zrozumieć ryzyko i szanse, przeczytaj artykuł Ocena ryzyka ISO 27001 & leczenie – 6 podstawowych kroków. Dowiedz się więcej o celach kontrolnych w artykule Cele kontrolne ISO 27001 – Dlaczego są ważne? Aby uzyskać więcej informacji na temat kierunku firmy, przeczytaj artykuł Dostosowanie bezpieczeństwa informacji do strategicznego kierunku firmy zgodnie z ISO 27001.

Rozdział 7: Wsparcie

Zasoby, kompetencje pracowników, świadomość i komunikacja są kluczowymi kwestiami wspierania sprawy. Innym wymaganiem jest dokumentowanie informacji zgodnie z ISO 27001. Informacje muszą być dokumentowane, tworzone i aktualizowane, a także kontrolowane. Aby wesprzeć sukces SZBI należy utrzymywać odpowiedni zestaw dokumentacji.

Aby uzyskać więcej informacji na temat szkolenia, podnoszenia świadomości i komunikacji, przeczytaj artykuły Jak przeprowadzić szkolenie & świadomość ISO 27001 i ISO 22301 oraz Jak stworzyć plan komunikacji zgodnie z do ISO 27001. Dowiedz się więcej o zarządzaniu dokumentami w artykule Zarządzanie dokumentami w ISO 27001 & BS 25999-2.

Rozdział 8: Obsługa

Procesy są niezbędne do wdrożenia bezpieczeństwa informacji. Te procesy należy zaplanować, wdrożyć i kontrolować. Ocena i leczenie ryzyka – o czym musi pamiętać najwyższe kierownictwo, jak dowiedzieliśmy się wcześniej – muszą zostać wdrożone.

Dowiedz się więcej o ocenie ryzyka i leczeniu z artykułów Ocena ryzyka ISO 27001: Jak dopasować aktywa, zagrożenia i podatności oraz Jak ocenić konsekwencje i prawdopodobieństwo w analizie ryzyka ISO 27001, a także na tym bezpłatnym schemacie procesu oceny i leczenia ryzyka ISO 27001: 2013.

Rozdział 9: Ocena wydajności

Wymagania normy ISO 27001 przewidują monitorowanie, pomiary, analizę i ocenę systemu zarządzania bezpieczeństwem informacji. Dział powinien nie tylko sam sprawdzać swoją pracę – dodatkowo trzeba przeprowadzić audyty wewnętrzne. W ustalonych odstępach czasu najwyższe kierownictwo musi dokonywać przeglądu SZBI organizacji.

Dowiedz się więcej o wydajności, monitorowaniu i pomiarach z artykułów Kluczowe wskaźniki wydajności dla ISMS ISO 27001 oraz Jak przeprowadzać monitorowanie i pomiary w ISO 27001.

Klauzula 10: Poprawa

Poprawa jest następstwem oceny. Niezgodności należy rozwiązać, podejmując działania i eliminując przyczyny, gdy ma to zastosowanie. Ponadto należy wdrożyć proces ciągłego doskonalenia, mimo że cykl PDCA (Plan-Do-Check-Act) nie jest już obowiązkowy (więcej na ten temat przeczytasz w artykule Czy cykl PDCA został usunięty z nowych norm ISO? cykl PDCA jest często zalecany, ponieważ zapewnia solidną strukturę i spełnia wymagania normy ISO 27001.

Aby uzyskać więcej informacji na temat doskonalenia normy ISO 27001, przeczytaj artykuł Osiąganie ciągłego doskonalenia dzięki zastosowaniu modeli dojrzałości.

Załącznik A (normatywny) Cele i mechanizmy kontroli odniesienia

Załącznik A to pomocna lista celów i środków kontroli odniesienia. Począwszy od A.5 Polityki bezpieczeństwa informacji do A.18 Zgodność, lista zawiera kontrole, za pomocą których można spełnić wymagania ISO 27001 i wyprowadzić strukturę SZBI. Kontrole, zidentyfikowane poprzez ocenę ryzyka opisaną powyżej, muszą być rozważone i wdrożone.

więcej o załączniku A, przeczytaj artykuły Krótki przewodnik po ISO 27001 kontrole z Załącznika A i Jak uporządkować dokumenty dla kontroli ISO 27001 Załącznik A.

Wymagania ISMS

Wdrożenie i sama norma może wydawać się na pierwszy rzut oka trudna lub skomplikowana , ponieważ niektóre wymagania mogą nie wydawać się logiczne. Ale im bardziej dogłębnie się o tym dowiemy, wszystko układa się na swoim miejscu i zaczyna doceniać wszechstronność, jaką wdrożenie ISO 27001 wnosi do bezpieczeństwa. Wkrótce po osiągnięciu zgodności z pewnością zdasz sobie sprawę, że norma zawiera ustrukturyzowane wytyczne, i będziesz zadowolony z decyzji dotyczącej wdrożenia.

Aby dowiedzieć się więcej o wymaganiach ISO 27001, pobierz bezpłatną część Clause-by -clause wyjaśnienie ISO 27001.

Tutaj możesz dowiedzieć się, jak szczegółowe powinny być dokumenty ISO 27001?

Dla decydentów w świecie startupów , zdecydowanie zaleca się przeczytanie, dlaczego powinni inwestować w ISO 27001 i w jaki sposób wdrożenie może przyspieszyć rozwój firmy.

O autorze:

Andrea Giesler jest audytorem wewnętrznym z siedzibą w Kolonii w Niemczech, specjalizująca się w obszarach ISO 27001, ISO 9001 i RODO UE. Jest certyfikowanym audytorem systemów informatycznych (CISA) i posiada certyfikat ISACA w zakresie ryzyka i kontroli systemów informacyjnych (CRISC).