SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI WEDŁUG NORMY ISO/IEC 27001:2005



Podobne dokumenty
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Promotor: dr inż. Krzysztof Różanowski

ISO bezpieczeństwo informacji w organizacji

Krzysztof Świtała WPiA UKSW

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

ISO w Banku Spółdzielczym - od decyzji do realizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

I. O P I S S Z K O L E N I A

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO Mariola Witek

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Usprawnienia zarządzania organizacjami (normy zarzadzania)

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Maciej Byczkowski ENSI 2017 ENSI 2017

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Normalizacja dla bezpieczeństwa informacyjnego

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

ISO 9001:2015 przegląd wymagań

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Bezpieczeństwo informacji. jak i co chronimy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Szkolenie Ochrona Danych Osobowych ODO-01

Kompleksowe Przygotowanie do Egzaminu CISMP

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ISO nowy standard bezpieczeństwa. CryptoCon,

Bezpieczeńtwo informacji

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Komunikat nr 115 z dnia r.

HARMONOGRAM SZKOLENIA

Zarządzanie relacjami z dostawcami

Polityka bezpieczeństwa

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

SZCZEGÓŁOWY HARMONOGRAM KURSU

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

System Kontroli Wewnętrznej w Banku BPH S.A.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

System zarządzania jakością zgodny z międzynarodowym standardem ISO 9001:2008

BAKER TILLY POLAND CONSULTING

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

ISO 9001:2008. Zmiany w normie, zasady okresu przejściowego w certyfikacji. Na podstawie opublikowanej normy ISO 9001:2008

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Zdrowe podejście do informacji

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

Proces certyfikacji ISO 14001:2015

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Polityka Bezpieczeństwa Informacji PIN BG AGH. (w wyborze)

Szkolenie Ochrona Danych Osobowych ODO-01

ZARZĄDZENIE Starosty Bielskiego

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

NORMY SERII ISO 9000 A KOMPLEKSOWE ZARZĄDZANIE JAKOŚCIĄ

Kodeks Etyki Biznesowej czyli System Antykorupcyjny w praktyce. Kraków, września 2006 r.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Bezpieczeństwo informacji jako ważny element bezpieczeństwa całej organizacji

Miejsce audytu teleinformatycznego i doradcy technologicznego

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Zarządzanie energią. Norma ISO 50001:2011, korzyści wynikające z wdroŝenia systemu. Jacek Walski PREDA Szczecin, r.

Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO 27001

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Co się zmieni w nowej wersji normy ISO 9001

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

Szkolenie podstawowe z zakresu bezpieczeństwa informacji BI-01

ROZWÓJ SYSTEMÓW ZARZĄDZANIA W GLOBALNEJ GOSPODARCE

Robert Meller, Nowoczesny audyt wewnętrzny

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Zarządzenie Nr ZEAS /2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu z dnia 28 kwietnia 2010 roku

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

Kultura usługowa i jej znaczenie dla relacji biznes - IT

Dokument obowiązkowy IAF

IV Ogólnopolska Konferencja Normalizacja w Szkole

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Grzegorz Pieniążek Hubert Szczepaniuk

Zarządzanie ryzykiem w bezpieczeństwie informacji

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Transkrypt:

STUDIA I PRACE WYDZIAŁU NAUK EKONOMICZNYCH I ZARZĄDZANIA NR 1 ANNA BIELAWA SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI WEDŁUG NORMY ISO/IEC 27001:2005 Informacja jest jednym z waŝniejszych narzędzi uzyskania przewagi konkurencyjnej. Coraz szybszy rozwój techniki w bardzo duŝym stopniu zaleŝy od szybkości i jakości informacji. Informacja i wspierające ją procesy, systemy i sieci są waŝnymi aktywami biznesowymi. Wraz z rozwojem technik komunikacji pojawiają się nowe sposoby uzyskiwania informacji, będących tajemnicami waŝnymi z punktu widzenia organizacji. Coraz częściej organizacje, ich systemy i sieci informatyczne są naraŝone na zagroŝenia zamierzone, takie jak szpiegostwo, sabotaŝ, wandalizm, bądź niezamierzone, do których moŝna zaliczyć brak świadomości pracowników, poŝar lub powódź. UzaleŜnienie instytucji od systemów i usług informacyjnych oznacza, Ŝe są bardziej podatne na zagroŝenia utraty bezpieczeństwa, dlatego tak waŝne jest zapewnienie bezpieczeństwa informacji. Do tematu tego moŝna podejść na wiele sposobów. Mogą to być działania wyrywkowe, nieskoordynowane i intuicyjne, uzaleŝniające bezpieczeństwo informacji od poziomu wiedzy osób, którym powierzono to zadanie. Efekty takich działań mogą zabezpieczyć pewne obszary instytucji, jednak pozostałe mogą być nadal naraŝone na zagroŝenia. Instytucja, która chce naleŝycie zabezpieczyć swoje informacje, powinna zastosować podejście systemowe, polegające na kompleksowym zarządzaniu posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem związanym z bezpieczeństwem informacji.

172 Anna Bielawa 1. Norma BS-7799 a norma ISO 27001 Norma ISO 27001 jest oparta na brytyjskiej normie BS-7799-2, lecz wprowadzono do niej wiele zmian, które naleŝy uwzględnić przy budowie i utrzymywaniu systemu bezpieczeństwa. Zgodnie ze zmienionymi zasadami akredytacji, certyfikaty BS-7799 nie są przyznawane od 24 lipca 2006 roku, a wszystkie nowe systemy bezpieczeństwa są certyfikowane na zgodność z wymaganiami standardu ISO 27001. W instytucjach posiadających certyfikat BS-7799 powinno podczas audytu lub recertyfikacji nastąpić przejście do nowej normy. Oznacza to, Ŝe firmy, które obecnie mają certyfikat BS-7799, podczas najbliŝszego audytu będą podlegały weryfikacji według zapisów normy ISO 27001. Zmiana normy BS-7799 nastąpiła pod wpływem jej krytyki, głównie za trudności interpretacyjne i niejasności, niemoŝność zastosowania jej przez małe i średnie przedsiębiorstwie (problemy z uwzględnieniem pewnych wymagań) i nieodzwierciedlanie duŝej dynamiki rozwoju w zakresie IT. Standard ISO 27001 składa się z części podstawowej i załączników. W części podstawowej normy zdefiniowano wymagania związane z ustanowieniem i zarządzaniem systemem zarządzania bezpieczeństwem informacji, dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami, przeglądami i ciągłym doskonaleniem systemu. Zmiany wprowadzone do głównej części normy dotyczyły przede wszystkim doprecyzowania i rozszerzenia wymagań związanych z pętlą ciągłego doskonalenia (PDCA). W obecnej wersji norma wymaga na przykład udokumentowania metodyki analizy ryzyka, a takŝe zapewnienia jej powtarzalności i porównywalności wyników. Nie jest to duŝa zmiana, gdyŝ dokumentowanie metodyki analizy ryzyka było zazwyczaj jednym z podstawowych etapów dotychczasowych wdroŝeń BS 7799-2. Załącznik A normy ISO/IEC 27001 został powaŝnie zmieniony zmodyfikowano układ rozdziałów, część wymagań usunięto bądź pogrupowano, dodano takŝe kilka nowych wymagań. Zarządzanie incydentami bezpieczeństwa stało się jednym z głównych obszarów normy. Załącznik A tej normy wyróŝnia zabezpieczenia 11 obszarów wpływających na bezpieczeństwo informacji w organizacji, czyli 1 : politykę bezpieczeństwa, organizację bezpieczeństwa informacji, 1 http://globaleconomy.pl/content/view/2183/57/.

System zarządzania bezpieczeństwem informacji... 173 zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrolę dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania, zgodność. DuŜą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Wymieniono w niej obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego i prawnego. Nie określono szczegółowych technicznych wymagań, lecz wskazano na zagadnienia, które naleŝy uregulować. Sposób zabezpieczenia tych obszarów, zaleŝny od przedsiębiorstw, powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji i ogólny charakter wymagań norma moŝe być podstawą do budowy systemu zarządzania bezpieczeństwem informacji w organizacjach. Z normą ISO 2007 związane są następujące normy 2 : BS-7799-2:2002 standard brytyjski, na którego podstawie opracowano normę ISO/IEC 27001:2005, PN-ISO/IEC 27001:2007 polskie tłumaczenie normy ISO/IEC 27001:2005, ISO/IEC 17799:2005 norma zawierająca wytyczne do tego, w jaki sposób spełnić poszczególne wymagania normy ISO/IEC 27001:2005. 2. Korzyści z wdroŝenia systemu zarządzania bezpieczeństwem informacji według normy ISO 27001:2005 Zastosowanie normy pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji i wybrać środki, dzięki którym zostanie zapewnione bezpieczeństwo informacji. Norma wspomaga więc procesy organizacyjne w sposób umoŝliwia- 2 http://centrum.bezpieczenstwa.pl/content/view/51/16/.

174 Anna Bielawa jący racjonalne podwyŝszenie bezpieczeństwa informacji, koncentrując się na sferze organizacyjnej i kontrolując obszary zwiększonego ryzyka, takie jak 3 : a) dostępność, czyli zapewnienie, Ŝe upowaŝnione osoby mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne; b) integralność, czyli zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; c) poufność, czyli zapewnienie dostępu do informacji tylko upowaŝnionym osobom. Dostępność, integralność i poufność informacji ma podstawowe znaczenie dla: utrzymania i zwiększenia konkurencyjności, zgodności z przepisami prawa (np. ustawa o ochronie danych osobowych i jej pochodnych), wydajności (skuteczności działania), płynności finansowej, rentowności, wizerunku firmy. Zastosowanie wytycznych normy umoŝliwia zmniejszenie do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemal koniecznością. Normę moŝna z powodzeniem wdraŝać zarówno w przedsiębiorstwach jak i urzędach. W tabeli 1 przedstawiono korzyści ze stosowania tych norm. W Polsce system ten cieszy się coraz większym uznaniem. Pierwszy, zakończony sukcesem i potwierdzony certyfikatem audyt, przeszła firma Inforsys Sp. z o.o., ekspert usług outsourcingowych z zakresu masowego przetwarzania dokumentów. Drugi certyfikat, ale pierwszy dla urzędu przyznano Urzędowi Miasta Piotrków Trybunalski, a pierwszym bankiem, który moŝe pochwalić się certyfikatem ISO 27001, jest bank PKO BP. Znaczenie informacji oraz wspierających ją procesów, systemów i sieci stale rośnie, głównie dlatego, Ŝe są one waŝnymi aktywami biznesowymi. Poufność, dostępność i integralność informacji moŝe mieć podstawowe znaczenie dla utrzymania konkurencyjności, płynności finansowej, zysku i zgodności z przepisami prawa i wizerunku instytucji. Informacja jest głównym czynnikiem rozwoju firm, ale gdy jest niewłaściwie zabezpieczona, moŝe być powodem ich upadku. W dobie postępującej informatyzacji niezbędne jest sformu- 3 http://www.kema.pl/index.php?iw=331.

System zarządzania bezpieczeństwem informacji... 175 łowanie takiej polityki bezpieczeństwa firmy, która uwzględni wszystkie aspekty zarządzania bezpieczeństwem informacji. Dzięki temu klienci mają gwarancję, Ŝe utrzymywane w organizacji dane są właściwie zabezpieczone, a skuteczne techniki zabezpieczania informacji są stosowane na kaŝdym poziomie w organizacji. Zadanie to ułatwia norma ISO 27001:2005, która weszła w Ŝycie 15 października 2005 roku. Jej wdroŝenie to nie tylko moda i cenny dokument, ale równieŝ i przede wszystkim wymóg nowoczesnej gospodarki, w której działają organizacje. Tabela 1 Korzyści wynikające z wdroŝenia i funkcjonowania systemu zarządzania bezpieczeństwem informacji według normy ISO 27001:2005 w firmach i urzędach Grupa docelowa Korzyść firma urząd Spełnienie wymagań ustawowych: Ustawa o ochronie danych osobowych Ustawa o ochronie informacji niejawnych Ustawa o dostępie do informacji publicznej Ustawa o prawie autorskim i prawach pokrewnych Uniknięcie kar za naruszenie bezpieczeństwa informacji Ochrona informacji znajdujących się w obiegu w ramach instytucji Zabezpieczenie informacji na wypadek katastrof lub awarii zarządzanie ciągłością działania urzędu Uporządkowanie informacji przetwarzanych przez urząd Wzrost świadomości pracowników co do bezpieczeństwa informacji + Zapewnienie interesantów i zainteresowane instytucje, Ŝe ich dane są właściwie chronione + Zapewnienie klientów, Ŝe ich informacje znajdują się pod właściwą ochroną + Wymagania przetargowe + Wiarygodność firmy dla klienta Zarządzanie ciągłością działania Spełnienie wymagań prawnych dotyczących bezpieczeństwa informacji obowiązujących urząd i ustalenie polityki bezpieczeństwa informacji Oszacowanie ryzyka związanego z zarządzaniem informacją Organizacja bezpieczeństwa fizycznego i informatycznego informacji Zarządzanie systemami informatycznymi i sieciami komputerowymi pod kątem bezpieczeństwa informacji Wprowadzenie okresowych audytów bezpieczeństwa informacji Ustalenie w formie procedur sposobu postępowania w trakcie normalnego funkcjonowania i sytuacjach kryzysowych Źródło: http://www.aste.net.pl/szbi/bezpieczenstwo_informacji_korzysci.php.

176 Anna Bielawa INFORMATION SECURITY MANAGEMENT SYSTEM BASED ON ISO/IEC 27001:2005 Summary Information is critical to the operation and perhaps even the survival of the organizations. Being certified to ISO/IEC 27001 will help to manage and protect the valuable information assets. ISO/IEC 27001 is the only auditable international standard which defines the requirements for an Information Security Management System (ISMS). The standard is designed to ensure the selection of adequate and proportionate security controls. It adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving the ISMS. ISO/IEC 27001 is suitable for any organization, large or small, in any sector or part of the world. The standard is particularly suitable where the protection of information is critical, such as in the finance, health, public and IT sectors. It s also highly effective for organizations which manage information on behalf of others, such as IT outsourcing companies: it can be used to assure customers that their information is being protected. Translated by Anna Bielawa

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres