Jakie jest znaczenie ISO 27001?
Po pierwsze, należy zauważyć, że pełna nazwa ISO 27001 to „ISO / IEC 27001 – Technologia informacyjna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania. ”
Jest to wiodąca międzynarodowa norma dotycząca bezpieczeństwa informacji, opublikowana przez Międzynarodową Organizację Normalizacyjną (ISO) we współpracy z Międzynarodową Komisją Elektrotechniczną (IEC). Obie są wiodącymi organizacjami międzynarodowymi, które rozwijać międzynarodowe standardy.
ISO-27001 jest częścią zestawu standardów opracowanych w celu zapewnienia bezpieczeństwa informacji: serii ISO / IEC 27000.
Jaki jest cel ISO 27001?
ISO 27001 został opracowany, aby pomóc organizacjom, dowolnej wielkości i dowolnej branży, chronić ich informacje w systematyczny i opłacalny sposób, poprzez przyjęcie Systemu Zarządzania Bezpieczeństwem Informacji (ISMS).
Dlaczego ISO 27001 jest ważne?
Nie tylko standard zapewnia towarzysza posiada wiedzę niezbędną do ochrony swoich najcenniejszych informacji, ale firma może również uzyskać certyfikat ISO 27001 i w ten sposób udowodnić swoim klientom i partnerom, że chroni ich dane.
Osoby fizyczne mogą również uzyskać certyfikat ISO 27001, uczęszczając na kurs i zdając egzamin, a tym samym udowadniając swoje umiejętności potencjalnym pracodawcom.
Ponieważ jest to standard międzynarodowy, ISO 27001 jest łatwo rozpoznawalny na całym świecie, zwiększając możliwości biznesowe dla organizacji i specjalistów.
Jakie są 3 cele bezpieczeństwa ISMS?
Podstawowym celem ISO 27001 jest ochrona trzech aspekty informacji:
- Poufność: tylko upoważnione osoby mają prawo dostępu do informacji.
- Integralność: tylko upoważnione osoby mogą zmieniać informacje.
- Dostępność: informacje muszą być dostępne dla upoważnionych osób zawsze, gdy jest to potrzebne.
Co to jest ISMS?
System Zarządzania Bezpieczeństwem Informacji (ISMS) to zbiór zasad, które firma musi ustanowić, aby:
- zidentyfikować interesariuszy i ich oczekiwania wobec firmy w zakresie bezpieczeństwa informacji
- zidentyfikować, jakie ryzyko istnieje dla informacji
- zdefiniować kontrole (zabezpieczenia) i inne metody łagodzenia, aby spełnić określone oczekiwania i radzić sobie z ryzykiem
- określić jasne cele dotyczące tego, co należy osiągnąć z bezpieczeństwem informacji
- wdrożyć wszystkie kontrole i inne metody postępowania z ryzykiem
- stale mierzyć, czy wdrożone kontrole działają zgodnie z oczekiwaniami
- wprowadzać ciągłe ulepszenia, aby cały SZBI pracować lepiej
Ten zestaw reguł można zapisać w formie zasad, procedur i innych typów dokumentów lub w formie ustalonych procesów i technologii, które nie są udokumentowane. ISO 27001 określa, które dokumenty są wymagane, tj. Które muszą istnieć jako minimum.
Dlaczego potrzebujemy SZBI?
Istnieją cztery podstawowe korzyści biznesowe, które firma może osiągnąć dzięki wdrożeniu tego standardu bezpieczeństwa informacji:
Zgodność z wymogami prawnymi – jest coraz więcej przepisów ustawowych, wykonawczych i kontraktowych związanych z bezpieczeństwem informacji, a dobrą wiadomością jest że większość z nich można rozwiązać, wdrażając ISO 27001 – ten standard zapewnia idealną metodologię do spełnienia ich wszystkich.
Osiągnij przewagę konkurencyjną – jeśli Twoja firma otrzyma certyfikat, a konkurenci nie, możesz mieć nad nimi przewagę w oczach klientów, którzy są wrażliwi na bezpieczeństwo ich informacji.
Niższe koszty – główna filozofia ISO 27001 polega na zapobieganiu incydentom bezpieczeństwa – a każdy incydent, duży lub mały, kosztuje. Dlatego zapobiegając im, Twoja firma zaoszczędzi sporo pieniędzy. A co najlepsze – inwestycja w ISO 27001 jest znacznie mniejsza niż oszczędności, które można osiągnąć.
Lepsza organizacja – zazwyczaj szybko rozwijające się firmy nie mają czasu na zatrzymywanie i definiowanie swoich procesów i procedur – w konsekwencji bardzo często pracownicy nie wiedzą, co należy zrobić, kiedy, i przez kogo. Wdrożenie ISO 27001 pomaga rozwiązywać takie sytuacje, ponieważ zachęca firmy do spisywania swoich głównych procesów (nawet tych niezwiązanych z bezpieczeństwem), umożliwiając im redukcję czasu straconego przez pracowników.
Jak działa ISO 27001?
Celem ISO 27001 jest ochrona poufności, integralności i dostępności informacji w firmie. Odbywa się to poprzez ustalenie, jakie potencjalne problemy mogą wystąpić z informacjami (tj., ocena ryzyka), a następnie zdefiniowanie, co należy zrobić, aby zapobiec wystąpieniu takich problemów (tj. ograniczanie ryzyka lub leczenie ryzyka).
Dlatego główna filozofia ISO 27001 opiera się na procesie zarządzania ryzykiem: dowiedzieć się, gdzie są zagrożenia, a następnie systematycznie je leczyć poprzez wdrożenie kontroli bezpieczeństwa (lub zabezpieczeń).
ISO 27001 wymaga, aby firma wymieniła wszystkie kontrole, które mają zostać zaimplementowane w dokumencie zwanym Deklaracją stosowalności.
Jakie są wymagania dla ISO 27001?
Obowiązkowe wymagania dla ISO 27001 są zdefiniowane w punktach od 4 do 10 – oznacza to, że wszystkie te wymagania muszą zostać wdrożone w organizacji, jeśli chce być zgodna z normą. Kontrole z Załącznika A muszą być wdrożone tylko wtedy, gdy zostały zadeklarowane jako mające zastosowanie w Deklaracji Stosowalności.
Wymagania z sekcji 4 do 10 można podsumować w następujący sposób:
Rozdział 4: Kontekst organizacja – definiuje wymagania dotyczące zrozumienia zagadnień zewnętrznych i wewnętrznych, zainteresowanych stron i ich wymagań oraz definiuje zakres SZBI.
Klauzula 5: Przywództwo – definiuje obowiązki najwyższego kierownictwa, ustalając role i obowiązki oraz treść polityki bezpieczeństwa informacji najwyższego poziomu.
Klauzula 6: Planowanie – określa wymagania dotyczące oceny ryzyka, postępowania z ryzykiem, Deklaracji zastosowania, planu postępowania z ryzykiem i ustalania celów bezpieczeństwa informacji.
Rozdział 7: Wsparcie – definiuje wymagania dostępności zasobów, kompetencji, świadomości, komunikacji i kontroli dokumentów i zapisów.
Rozdział 8: Eksploatacja – definiuje wdrożenie oceny ryzyka i postępowania z nim, a także kontrole i inne procesy potrzebne do osiągnięcia celów bezpieczeństwa informacji.
Rozdział 9: Ocena wyników – definiuje wymagania dotyczące monitorowania, pomiarów, analizy, oceny, audytu wewnętrznego i przeglądu zarządzania.
Rozdział 10: Doskonalenie – definiuje wymagania dotyczące niezgodności, poprawek, działań naprawczych i ciągłego doskonalenia.
Jakie są 14 dziedzin ISO 27001?
Tam jest 14 „domen” wymienionych w załączniku A do normy ISO 27001, zorganizowanych w sekcjach od A.5 do A.18. Sekcje obejmują:
A.5. Zasady bezpieczeństwa informacji: Kontrole w tej sekcji opisać, jak postępować z polityką bezpieczeństwa informacji.
A.6. Organizacja bezpieczeństwa informacji: Kontrole w tej sekcji zapewniają podstawowe ramy dla wdrażania i działania bezpieczeństwa informacji poprzez zdefiniowanie jego wewnętrznej organizacji (np. role , obowiązki itp.) oraz poprzez organizacyjne aspekty bezpieczeństwa informacji, takie jak zarządzanie projektami, korzystanie z urządzeń mobilnych i telepraca.
A.7. Bezpieczeństwo zasobów ludzkich: Kontrole w tej sekcji zapewniają, że ludzie, którzy są pod kontrolą organizacji, są zatrudniani, szkoleni i zarządzani w bezpieczny sposób; również pr podejmowane są działania dyscyplinarne i rozwiązujące umowy.
A.8. Zarządzanie zasobami: Mechanizmy kontrolne w tej sekcji zapewniają identyfikację zasobów związanych z bezpieczeństwem informacji (np. Informacje, urządzenia przetwarzające, urządzenia pamięci masowej itp.), Wyznaczenie odpowiedzialności za ich bezpieczeństwo oraz wiedzę, jak postępować z nimi zgodnie z predefiniowaną klasyfikacją. poziomy.
A.9. Kontrola dostępu: Kontrole w tej sekcji ograniczają dostęp do informacji i zasobów informacyjnych zgodnie z rzeczywistymi potrzebami biznesowymi. Kontrolki dotyczą zarówno dostępu fizycznego, jak i logicznego.
A.10. Kryptografia: Mechanizmy kontroli w tej sekcji stanowią podstawę dla właściwego wykorzystania rozwiązań szyfrujących w celu ochrony poufności, autentyczności i / lub integralności informacji.
A.11. Bezpieczeństwo fizyczne i środowiskowe: Kontrole w tej sekcji zapobiegają nieautoryzowanemu dostępowi do obszarów fizycznych i chronią sprzęt i obiekty przed zagrożeniem w wyniku interwencji człowieka lub przyrody.
A.12. Bezpieczeństwo operacji: Kontrole w tej sekcji zapewniają, że systemy informatyczne, w tym systemy operacyjne i oprogramowanie, są bezpieczne i chronione przed utratą danych. Dodatkowo kontrole w tej sekcji wymagają środków do rejestrowania zdarzeń i generowania dowodów, okresowej weryfikacji luk w zabezpieczeniach i podejmowania środków ostrożności, aby działania audytowe nie wpływały na operacje.
A.13. Bezpieczeństwo komunikacji: Kontrole w tej sekcji chronią infrastrukturę i usługi sieciowe, a także informacje, które przez nie przechodzą.
A.14. Nabycie, rozwój i utrzymanie systemu: Kontrole w tej sekcji zapewniają, że bezpieczeństwo informacji jest brane pod uwagę przy zakupie nowych systemów informatycznych lub modernizacji istniejących.
A.15.Relacje z dostawcami: Kontrole w tej sekcji zapewniają, że czynności zlecone na zewnątrz, wykonywane przez dostawców i partnerów, również stosują odpowiednie mechanizmy kontroli bezpieczeństwa informacji i opisują, jak monitorować wydajność zabezpieczeń stron trzecich.
A.16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji: Kontrole w tej sekcji zapewniają ramy dla zapewnienia właściwej komunikacji i obsługi zdarzeń i incydentów związanych z bezpieczeństwem, tak aby można je było rozwiązać w odpowiednim czasie; określają również, jak zachować dowody, a także jak uczyć się na podstawie incydentów, aby zapobiec ich powtórzeniu się.
A.17. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania: Kontrole w tej sekcji zapewniają ciągłość zarządzania bezpieczeństwem informacji podczas zakłóceń oraz dostępność systemów informatycznych.
A.18. Zgodność: Kontrole w tej sekcji zapewniają ramy dla zapobiegania naruszeniom prawnym, ustawowym, regulacyjnym i umownym oraz audytowania, czy bezpieczeństwo informacji jest wdrożone i czy jest skuteczne zgodnie z określonymi zasadami, procedurami i wymaganiami normy ISO 27001.
Bliższe przyjrzenie się tym domenom pokazuje nam, że zarządzanie bezpieczeństwem informacji to nie tylko bezpieczeństwo IT (np. zapory sieciowe, antywirusy itp.), ale także zarządzanie procesami, ochrona prawna, zarządzanie zasobami ludzkimi, fizyczne ochrona itp.
Jakie są kontrole ISO 27001?
Kontrole ISO 27001 (znane również jako zabezpieczenia) to praktyki, które należy wdrożyć w celu zmniejszenia ryzyka do akceptowalnego poziomu. Kontrole mogą być techniczne, organizacyjne, prawne, fizyczne, ludzkie itp.
Ile kontroli zawiera norma ISO 27001?
Załącznik A do normy ISO 27001 zawiera listę 114 kontroli zorganizowanych w 14 sekcjach o numerach od A.5 do A.18 wymienionych powyżej.
W jaki sposób wdraża się kontrole ISO 27001?
Kontrole techniczne są głównie wdrażane w systemach informatycznych przy użyciu oprogramowania, sprzętu i oprogramowania układowego dodane do systemu. Na przykład. kopie zapasowe, oprogramowanie antywirusowe itp.
Kontrole organizacyjne są wdrażane poprzez definiowanie reguł, których należy przestrzegać, oraz oczekiwanych zachowań użytkowników, sprzętu, oprogramowania i systemów. Na przykład. Polityka kontroli dostępu, polityka BYOD itp.
Kontrole prawne są wdrażane poprzez zapewnienie, że zasady i oczekiwane zachowania są zgodne z przepisami, regulacjami, umowami i innymi podobnymi instrumentami prawnymi, których organizacja musi przestrzegać, i je egzekwują. Na przykład. NDA (umowa o zachowaniu poufności), SLA (umowa dotycząca poziomu usług) itp.
Kontrole fizyczne są przede wszystkim wdrażane przy użyciu sprzętu lub urządzeń, które mają fizyczną interakcję z ludźmi i przedmiotami. Na przykład. Kamery CCTV, systemy alarmowe, zamki itp.
Kontrole zasobów ludzkich są wdrażane poprzez dostarczanie wiedzy, wykształcenia, umiejętności lub doświadczenia osobom, które umożliwiają im wykonywanie swoich czynności w bezpieczny sposób. Na przykład. szkolenie w zakresie świadomości bezpieczeństwa, szkolenie audytorów wewnętrznych ISO 27001 itp.
Obowiązkowe dokumenty ISO 27001
ISO 27001 określa minimalny zestaw zasad, procedur, planów, zapisów i innych udokumentowanych informacji, które są niezbędne do uzyskania zgodności.
ISO 27001 wymaga zapisania następujących dokumentów:
A to są obowiązkowe zapisy:
Oczywiście firma może zdecydować o napisaniu dodatkowych dokumentów bezpieczeństwa jeśli uzna to za konieczne.
Aby zobaczyć bardziej szczegółowe wyjaśnienie każdego z tych dokumentów, pobierz bezpłatną białą księgę Lista kontrolna obowiązkowej dokumentacji wymaganej przez ISO 27001 (wersja 2013).
Ile kosztuje ISO 27001 ?
Koszty wdrożenia i certyfikacji SZBI będą zależeć od wielkości i złożoności zakresu SZBI, który różni się w zależności od organizacji. Koszt będzie również zależał od lokalnych cen różnych usług, z których będziesz korzystać podczas wdrażania.
Ogólnie rzecz biorąc, są to niektóre z kosztów, które należy wziąć pod uwagę:
- Szkolenia i literatura
- Pomoc zewnętrzna
- Technologie do zaktualizowania / wdrożenia
- Wysiłek i czas pracowników
- Koszt jednostki certyfikującej
Aby zobaczyć bardziej szczegółowe wyjaśnienie certyfikacji kosztów, pobierz bezpłatną białą księgę Jak zaplanować budżet na projekt wdrożeniowy ISO 27001.
Co to jest „certyfikat ISO 27001”?
Firma może ubiegać się o certyfikat ISO 27001, zapraszając akredytowaną jednostka certyfikująca do przeprowadzenia audytu certyfikacyjnego i, jeśli audyt zakończy się pomyślnie, do wydania firmie certyfikatu ISO 27001. Certyfikat ten będzie oznaczał, że firma jest w pełni zgodna z normą ISO 27001.
Osoba może ubiegać się o certyfikat ISO 27001, przechodząc szkolenie ISO 27001 i zdając egzamin. Certyfikat ten będzie oznaczał, że osoba ta zdobyła odpowiednie umiejętności podczas kursu.
Jak długo ISO 27001 jest ważne po uzyskaniu certyfikatu?
Gdy jednostka certyfikująca wyda firmie certyfikat ISO 27001, jest on ważny przez okres trzech lat, podczas których jednostka certyfikująca przeprowadzi audyty nadzoru, aby ocenić, czy organizacja prawidłowo utrzymuje SZBI, i jeśli wymagane ulepszenia są wdrażane w odpowiednim czasie.
Które firmy mają certyfikat ISO 27001?
Witryna ISO.org zawiera ogólny przegląd certyfikowanych organizacji podzielonych na kategorie według branży, kraju, liczby witryn itp. Możesz znaleźć Ankieta ISO pod tym linkiem: https://www.iso.org/the-iso-survey.html.
Aby sprawdzić, czy dana firma ma certyfikat ISO 27001, musisz skontaktować się z jednostką certyfikującą, ponieważ nie ma oficjalna scentralizowana baza danych firm certyfikowanych.
Czy dana osoba może uzyskać certyfikat ISO?
Tak, osoba fizyczna może uzyskać certyfikat ISO 27001, uczestnicząc w jednym lub kilku z poniższych szkoleń i zdając egzamin:
- Kurs ISO 27001 Lead Implementer – to szkolenie jest przeznaczone dla zaawansowanych praktyków i konsultantów.
- Kurs ISO 27001 Auditor wiodący – to szkolenie jest przeznaczone dla audytorów certyfikujących oraz dla konsultantów.
- Kurs Audytora Wewnętrznego ISO 27001 – to szkolenie jest przeznaczone dla osób, które będą przeprowadzały audyty wewnętrzne w swojej firmie.
- Kurs Podstawy ISO 27001 – to szkolenie jest przeznaczone dla osób, które chcą poznać podstawy standardu oraz główne etapy wdrażania.
Jakie są standardy ISO 27000?
Ponieważ definiuje wymagania dla ISMS, ISO 27001 jest głównym standardem w rodzinie norm ISO 27000. Ponieważ jednak określa głównie to, co jest potrzebne, ale nie precyzuje, jak to zrobić, opracowano kilka innych standardów bezpieczeństwa informacji, aby zapewnić dodatkowe wskazówki. Obecnie w serii ISO27k istnieje ponad 40 norm, a najczęściej używane są następujące:
ISO / IEC 27000 zawiera terminy i definicje używane w serii norm ISO 27k.
ISO / IEC 27002 zawiera wytyczne dotyczące wdrażania kontroli wymienionych w ISO 27001 Aneks A. Może być całkiem przydatne, ponieważ zawiera szczegółowe informacje na temat wdrażania tych kontroli.
ISO / IEC 27004 zawiera wytyczne dotyczące pomiaru bezpieczeństwa informacji – dobrze pasuje do ISO 27001, ponieważ wyjaśnia, jak określić, czy SZBI osiągnął swoje cele.
ISO / IEC 27005 zawiera wytyczne dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji. Jest to bardzo dobre uzupełnienie normy ISO 27001, ponieważ podaje szczegółowe informacje na temat przeprowadzania oceny ryzyka i postępowania z ryzykiem, prawdopodobnie najtrudniejszego etapu wdrożenia.
ISO / IEC 27017 zawiera wytyczne dotyczące bezpieczeństwa informacji w środowiskach chmurowych.
ISO / IEC 27018 zawiera wytyczne dotyczące ochrony prywatności w środowiskach chmurowych.
ISO / IEC 27031 zawiera wytyczne dotyczące tego, co należy wziąć pod uwagę przy opracowywaniu ciągłości działania w zakresie technologii informacyjnych i komunikacyjnych (ICT). Ten standard jest doskonałym łącznikiem między bezpieczeństwem informacji a praktykami zapewniania ciągłości działania.
Jaka jest aktualna wersja ISO 27001?
Na dzień publikacji tego artykułu aktualna wersja ISO 27001 to ISO / IEC 27001: 2013.
Pierwsza wersja ISO 27001 została wydana w 2005 roku (ISO / IEC 27001: 2005), druga wersja w 2013 roku, a ostatnia wersja normy została sprawdzona w 2019 roku , kiedy potwierdzono wersję 2013 (tj. nie były potrzebne żadne zmiany).
Należy zauważyć, że różne kraje będące członkami ISO mogą tłumaczyć normę na swoje języki, wprowadzając drobne uzupełnienia (np. , krajowe słowa wstępne), które nie mają wpływu na treść międzynarodowej wersji normy. Te „wersje” mają dodatkowe litery odróżniające je od standardu międzynarodowego, np. NBR ISO / IEC 27001 oznacza „wersję brazylijską”, a BS ISO / IEC 27001 oznacza „wersję brytyjską”. Te lokalne wersje normy zawierają również rok, w którym zostały przyjęte przez lokalną jednostkę normalizacyjną, więc najnowszą wersją brytyjską jest BS EN ISO / IEC 27001: 2017, co oznacza, że ISO / IEC 27001: 2013 została przyjęta przez British Standards Institution w 2017 roku.
Jaka jest różnica między ISO 27001 a 27002?
ISO 27001 definiuje wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (ISMS), podczas gdy ISO 27002 zawiera wskazówki dotyczące wdrażania kontroli z ISO 27001 Aneks A.
Innymi słowy, dla każdej kontroli ISO 27001 zawiera tylko krótki opis, podczas gdy ISO 27002 zapewnia szczegółowe wytyczne.
Jaka jest różnica między NIST i ISO 27001?
Chociaż ISO 27001 jest standardem międzynarodowym, NIST jest agencją rządową USA, która promuje i utrzymuje standardy pomiarowe w Stanach Zjednoczonych – wśród nich seria SP 800, zestaw dokumentów określających najlepsze praktyki dotyczące bezpieczeństwa informacji.
Chociaż to nie to samo, seria NIST SP 800 i ISO 27001 mogą być używane razem do implementacji bezpieczeństwa informacji.
Czy ISO 27001 jest obowiązkowe?
W większości krajów wdrożenie ISO 27001 nie jest obowiązkowe. Jednak niektóre kraje opublikowały przepisy, które wymagają, aby określone branże wdrożyły ISO 27001.
Aby ustalić, czy ISO 27001 jest obowiązkowe dla Twojej firmy, powinieneś poszukać fachowej porady prawnej w kraju, w którym prowadzisz działalność.
Czym są kontrole ISO 27001?
Organizacje publiczne i prywatne mogą zdefiniować zgodność z ISO 27001 jako wymóg prawny w swoich umowach i umowach o świadczenie usług z dostawcami. Ponadto, jak wspomniano powyżej, kraje mogą definiować przepisy ustawowe lub wykonawcze zmieniające przyjęcie ISO 27001 w wymóg prawny, który musi spełnić organizacje działające na ich terytorium.
Aby dowiedzieć się więcej o RODO UE i dlaczego ma ono zastosowanie na całym świecie, przeczytaj ten artykuł.