ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji



Podobne dokumenty
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ISO 9001:2015 przegląd wymagań

Normalizacja dla bezpieczeństwa informacyjnego

Krzysztof Świtała WPiA UKSW

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie jakością wg norm serii ISO 9000:2000 cz.1 system, kierownictwo i zasoby

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

I. O P I S S Z K O L E N I A

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Skrót wymagań normy ISO 9001/2:1994, PN-ISO 9001/2:1996

Maciej Byczkowski ENSI 2017 ENSI 2017

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

Komunikat nr 115 z dnia r.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Bezpieczeństwo informacji. jak i co chronimy

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Program Kontroli Jakości Bezpieczeństwa Informacji

Standard ISO 9001:2015

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zmiany i nowe wymagania w normie ISO 9001:2008

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ISO w przedsiębiorstwie

1

HARMONOGRAM SZKOLENIA

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie otwarte 2016 r.

SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG

Obowiązuje od: r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Imed El Fray Włodzimierz Chocianowicz

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Kryteria oceny Systemu Kontroli Zarządczej

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Team Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016

Audyt systemów informatycznych w świetle standardów ISACA

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Wymagania wobec dostawców: jakościowe, środowiskowe, bhp i etyczne

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Regulamin zarządzania ryzykiem. Założenia ogólne

Kompleksowe Przygotowanie do Egzaminu CISMP

Egzamin za szkolenia Audytor wewnętrzny ISO nowy zawód, nowe perspektywy z zakresu normy ISO 9001, ISO 14001, ISO 27001

Zarządzanie ryzykiem w bezpieczeostwie IT

Standardy kontroli zarządczej

Zarządzanie projektami a zarządzanie ryzykiem

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Księga Zintegrowanego Systemu Zarządzania ZINTEGROWANY SYSTEM ZARZĄDZANIA

14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy

SKZ System Kontroli Zarządczej

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Kwestionariusz samooceny kontroli zarządczej

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

KSIĘGA JAKOŚCI SYSTEM ZARZĄDZANIA JAKOŚCIĄ. 4.1 Wymagania ogólne i zakres obowiązywania systemu zarządzania jakością.

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Dokumentacja systemu zarządzania bezpieczeństwem pracy i ochroną zdrowia

Audyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością. Piotr Lewandowski Łódź, r.

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Projekt wymagań w zakresie kompetencji zakładów utrzymania taboru. Jan Raczyński

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

DCT/ISO/SC/1.01 Księga Jakości DCT Gdańsk S.A. Informacja dla Klientów

Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.

Zarządzanie bezpieczeństwem i higieną pracy

System kontroli wewnętrznej w Limes Banku Spółdzielczym

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zmiany wymagań normy ISO 14001

Juan Pablo Concari Anzuola

Zarządzenie Nr 119/2008 Burmistrza Miasta Czeladź. z dnia 29 maja 2008r

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Certyfikacja systemu zarządzania jakością w laboratorium

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Rozdział I: Terminy i definicje

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZNIA NADZÓR NAD USŁUGĄ NIEZGODNĄ DZIAŁANIA KORYGUJĄCE/ ZAPOBIEGAWCZE

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Transkrypt:

Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia ISO/IEC 27001 dr inż. Bolesław Szomański bolkosz@wit.edu.pl ISO/IEC 27001:2005 opublikowana 15.10.2005 ISO/IEC ISO/IEC 27001:2005 Information Security Management System (ISMS) requirements Następca normy BS 7799-2:2002, która obowiązywała do lipca 2007 Polskie wydanie PN ISO/IEC 27001:2007 Techniki Informacyjne Techniki Bezpieczeństwa Systemy Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2005 budowa 0. wprowadzenie 1. Zakres normy 2. Powołania 3. Terminologia i definicje 4. System zarządzania bezpieczeństwem informacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzny audyt SZBI (w BS 7799-2 pkt 6.4) 7. Przegląd dokonywany przez kierownictwo 8. Doskonalenie SZBI Zał. A. Cele stosowania zabezpieczeń i zabezpieczenia już wywodzące się z normy ISO 17799:2005 Zał. B. Zasady OECD w normie (zamiast wytycznych wprowadzania w BS 7799-2) Zał. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 03/11/2010 (c) BSz Strona 1 z 12

Zakres normy 1. Zakres normy (2) Wymagania zawarte w tej normie są podstawowe i nadają się do zastosowania we wszystkich typach organizacji niezależnie od ich typu, wielkości i rodzaju Jakiekolwiek wykluczenie wymagań z punktów 4-8 jest niedopuszczalne jeżeli organizacji chce zapewnić zgodność z normą ISO/IEC 27001 Wykluczenie zabezpieczeń z załącznika A musi być uzasadnione, oparte o wyniki analizy ryzyka i zaakceptowane przez odpowiedzialne osoby. Jeżeli jakieś zabezpieczenie jest wykluczone potwierdzenie zgodności z normą jest możliwe jeżeli nie wpływa to na zdolność i odpowiedzialność organizacji do zapewnienia bezpieczeństwa informacji spełniającego wymagania bezpieczeństwa o wynikające z analizy ryzyka i o przestrzegania przepisów prawnych i regulacyjnych Ciągłe doskonalenie Ciągłe doskonalenie cd. Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI celów procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. Wykonuj (wdrożenie i eksploatacja SZBI) Wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur) Sprawdź (monitorowanie i przeglądszbi) sprawdzaj a gdzie to możliwe mierz wydajność procesów w stosunku do polityki bezpieczeństwa, celów i doświadczeń praktycznych oraz raportuj wyniki zarządowi w celu dokonywania przeglądu Popraw (utrzymywanie i doskonalenie SZBI) wprowadzaj działania korygujące i zapobiegawcze w oparciu o wyniki audytów wewnętrznych i przeglądów kierownictwa oraz innych związanych informacji aby ciągle doskonalić SZBI. 03/11/2010 (c) BSz Strona 2 z 12

3. Definicje [2] System zarządzania bezpieczeństwem informacji SZBI ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji UWAGA system zarządzania obejmuje strukturę organizacyjną, polityki, zaplanowane działania, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby. o information security management system (ISMS) 3. Definicje [5] deklaracja stosowania (SoA) dokument, w którym opisano cele zabezpieczania oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji, Uwaga o Cele stosowania zabezpieczeń i zabezpieczenia oparte są o rezultaty i wnioski wynikające z procesów szacowania i postępowania z ryzykiem, wymagań prawnych lub wymagań nadzoru, zobowiązań kontraktowych, wymagań biznesowych organizacji w odniesieniu do bezpieczeństwa informacji o statement of applicability 4. System Zarządzania Bezpieczeństwem Informacji (SZBI) [1] 4.1. Wymagania podstawowe Organizacja powinna o Ustanowić o Wdrożyć o Eksploatować o Monitorować o Przeglądać o Utrzymywać o Ciągle doskonalić Udokumentowany SZBI W kontekście o Działalności biznesowej o Ryzyka Zastosowany proces opiera się na modelu PDCA 4. SZBI [2] 4.2. Ustanowienie i zarządzanie SZBI 4.2.1. Ustanowienie SZBI Organizacja powinna określić zakres i granice SZBI uwzględniając charakterystyki: o Prowadzonej działalności o Organizacji o Lokalizacji o Aktywów o Technologii o Zawierający Dokładny opis i decyzję dla każdego wyłączenia z zakresu 03/11/2010 (c) BSz Strona 3 z 12

4. SZBI [3] Określić politykę SZBI, uwzględniającą charakter prowadzonej działalności, organizacji, jej lokalizacji, aktywów i technologii która: o Zawiera ramy ustalania celów, oraz wyznacza ogólny kierunek i zasady działania dotyczące bezpieczeństwa informacji o Bierze pod uwagę wymagania biznesowe, prawne i Charakterze regulacyjnym oraz kontraktowe dotyczące bezpieczeństwa informacji o Ustanawia kontekst strategiczny związany z zarządzaniem ryzykiem dający obszar ustanowienia i utrzymania SZBI o Określa kryteria oceny ryzyka i strukturę oceny ryzyka o Została zaakceptowana przez kierownictwo Uwaga polityka SZBI może być zestawem wszystkich polityk bezpieczeństwa, może być w jednym dokumencie 4. SZBI [4] Określić podejście do szacowania ryzyka o Wskazać Metodykę szacowania ryzyka odpowiednią dla SZBI Identyfikującą wymagania Biznesowe bezpieczeństwa informacji Prawne i regulacyjne o Wyznaczyć kryteria akceptowania ryzyka i Zidentyfikować akceptowalne poziomy ryzyka o Wybrana metoda szacowania ryzyka powinna zapewnić, że szacowanie to daje porównywalne i powtarzalne rezultaty Uwaga istnieją różne metody szacowania ryzyka przykłady ISO 13335-3 o Uwaga ISO 13335-3 został uchylona obecnie ISO/IEC 27005 4. SZBI [5] Określić ryzyko o Określić aktywa w zakresie SZBI i ich właścicieli o Określić zagrożenia dla tych aktywów o Określić podatności, które mogą być wykorzystane przez zagrożenia o Określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów Analizować i ocenić ryzyko o Oszacować szkody i straty dla biznesu wynikające z naruszenia bezpieczeństwa, biorąc pod uwagę konsekwencje utraty: poufności integralności i dostępności aktywów o Oszacować realne prawdopodobieństwo naruszenia bezpieczeństwa w świetle istotnych zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami o Wyznaczyć poziomy ryzyka o Stwierdzić kiedy ryzyko jest akceptowane lub wymaga odpowiedniego postępowania Opierając się na Kryteriach zaakceptowania ryzyka 4. SZBI [6] Zidentyfikować i określić warianty dla postępowania z ryzykiem. o Możliwe działania obejmują Zastosowanie odpowiednich zabezpieczeń Zaakceptowanie ryzyka w sposób świadomy i obiektywny, przy założeniu że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptacji ryzyk Unikanie ryzyk Przeniesienie ryzyka do innych organizacji Np. ubezpieczycieli, dostawców 03/11/2010 (c) BSz Strona 4 z 12

4. SZBI [6] 4. SZBI [6a] Wybrać cele stosowania zabezpieczania i zabezpieczenia. o Spełniające wymagania określone przez szacowanie ryzyka i postępowanie z ryzykiem o Biorąc pod uwagę kryteria akceptowania ryzyka oraz Wymagania prawne, nadzoru i kontraktowe o Cele zabezpieczenia i zabezpieczenia z załącznika A powinny być wybrane jako część tego procesu by w odpowiedni sposób spełnić zidentyfikowane wymagania o Lista celów stosowania zabezpieczeń i zabezpieczeń w załączniku A nie jest wyczerpująca, o mogą więc być wybrane dodatkowe cele stosowania zabezpieczeń i zabezpieczenia Uwaga załącznik A zawiera obszerny spis celów zabezpieczania i zabezpieczeń znajdujących powszechne zastosowanie. Użytkownicy powinni traktować załącznik jako punkt wyjścia do wyboru zabezpieczeń, aby upewnić się że żadna istotna opcja zabezpieczeń nie zostanie przeoczona Uzyskać akceptację kierownictwa dla ryzyk szczątkowych Uzyskać autoryzację kierownictwa dla wdrożenia i eksploatacji SZBI Przygotować deklarację stosowania (SoA) o Deklaracja powinna zawierać Cele zabezpieczenia i zabezpieczenia wybrane oraz uzasadnienie ich wyboru Cele zabezpieczenia i zabezpieczenie już wdrożone Wykluczenie jakiegokolwiek celu zabezpieczenia i wykluczenia zabezpieczeń zawartych w załączniku A i wraz z uzasadnieniem wykluczenia Uwaga deklaracja stosowania dostarcza podsumowania dotyczącego postępowania z ryzykiem. Uzasadnienie wyłączeń umożliwia powtórne sprawdzenie, że żadne zabezpieczenie nie zostało nieumyślnie pominięte 4. SZBI [7] 4.2.2. Wdrożenie i eksploatacja SZBI Organizacja powinna o Sformułować plan postępowania z ryzykiem Określający określone działania zarządu, zasoby, odpowiedzialności i priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem informacji o Wdrożyć plan postępowania z ryzykiem w celu spełnienia celów stosowania zabezpieczeń w tym uzasadnienie poniesionych środków, role i odpowiedzialności o Wdrożyć zabezpieczenia tak aby osiągnąć cele stosowania zabezpieczeń o Zdefiniować jak mierzyć skuteczność wybranych zabezpieczeń Oraz jak te pomiary będą wykorzystane w ocenie skuteczności zabezpieczeń do uzyskiwania porównywalnych i powtarzalnych wyników Uwaga pomiar skuteczności zabezpieczeń umożliwia kierownictwu i personelowi określić jak dobrze zabezpieczenia spełniają zaplanowane cele zabezpieczeń o Wdrożyć programy szkolenia i uświadamiania 4. SZBI [7a] o Zarządzać eksploatacją SZBI o Zarządzać zasobami SZBI o Wdrożyć procedury i inne działania w celu natychmiastowego Wykrycia zdarzeń Reakcji na incydenty 03/11/2010 (c) BSz Strona 5 z 12

4. SZBI [8] 4.2.3. Monitorowanie i przegląd SZBI Organizacja powinna podjąć następujące działania o Wykonywać monitorowanie i przegląd procedur i inne zabezpieczenia w celu: Natychmiastowego wykrywania błędów w wynikach przetwarzania Natychmiastowego identyfikowania naruszenia bezpieczeństwa oraz incydentów zakończonych niepowodzeniem lub sukcesem Umożliwienia kierownictwu określenia czy działania delegowane na poszczególne osoby lub wdrożone za pomocą środków informatycznych są wykonywane w zgodnie z oczekiwaniami Pomocy w wykrywaniu naruszeń bezpieczeństwa tym samym niedopuszczenie do incydentów bezpieczeństwa przez użycie indykatorów Określania czy działania podjętych w celu rozwiązania problemów związanych z naruszeniem bezpieczeństwa były skuteczne 4. SZBI [8a] o Dokonywać regularnych przeglądów skuteczności SZBI w tym: Zgodności z polityką i celami bezpieczeństwa oraz Przeglądy zabezpieczeń biorąc pod uwagę Wyniki Audytów bezpieczeństwa Incydentów Rezultaty pomiaru skuteczności Sugestie oraz Informacje zwrotne od wszystkich zainteresowanych stron o Dokonywać pomiarów skuteczności zabezpieczeń w celu zweryfikowania że wymagania bezpieczeństwa są spełnione 4. SZBI [9] 4. SZBI [10] o Dokonywać przeglądu szacowania ryzyka w zaplanowanych odstępach czasu, przeglądu ryzyka szczątkowego oraz przeglądu poziomu ryzyka akceptowalnego biorąc pod uwagę zmiany Organizacji Technologii Celów i procesów biznesowe Zidentyfikowanych zagrożeń Skuteczność stosowanych zabezpieczeń Zdarzeń zewnętrznych (zmiany przepisów prawnych lub regulacyjnych, zmiany wymagań kontraktowych i zmian w klimacie społecznym) o Przeprowadzać wewnętrzne audyty w regularnych odstępach czasu Uwaga Audyty wewnętrzne czasami zwane audytami pierwszej strony są przeprowadzane przez lub w imieniu organizacji na potrzeby wewnętrzne o W regularnych odstępach czasu podejmować przeglądy SZBI tak aby zapewnić że zakres jest odpowiedni oraz doskonalenie w procesach SZBI jest zidentyfikowane o Uaktualniać plany bezpieczeństwa biorąc pod uwagę wyniki monitoringu i przeglądów o Rejestrować działania i zdarzenia mające wpływ na skuteczność i wydajność SZBI 4.2.4. Utrzymanie i doskonalenie SZBI Organizacja powinna regularnie o Wdrażać zidentyfikowane udoskonalenia do SZBI o Podejmować odpowiednie działania korygujące i zapobiegawcze Wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno organizacji innych jak i własnych o Informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do okoliczności poziomie szczegółowości oraz jeżeli trzeba uzgodnić sposób dalszego postępowania o Upewnić się że zastosowane udoskonalenia spełniają postawione cele 03/11/2010 (c) BSz Strona 6 z 12

4. SZBI [11] 4.3 Wymagania dotyczące dokumentacji 4.3.1 Założenia Dokumentacja powinna zawierać o zapisy decyzji zarządu zapewniające że działania są odpowiednie do decyzji zarządu i polityk oraz zapewnienie że zapisane wyniki są odtwarzalne o Ważnym jest aby można był wskazać powiązania pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich rezultatami szacowania ryzyka i procesu postępowania z ryzykiem, a następnie z odpowiednimi politykami i celami SZBI Dokumentacja SZBI powinna obejmować o Udokumentowaną politykę bezpieczeństwa oraz celów stosowania zabezpieczeń o Zakres SZBI o procedury i zabezpieczenia służące realizacji SZBI 4. SZBI [12] o Opis metodologii szacowania ryzyka o Raport z szacowania ryzyka o Plan postępowania z ryzykiem o Udokumentowane procedury potrzebne organizacji aby efektywnie Planować Wykonywać Sterować procesami bezpieczeństwa informacji Oraz Określenie jak mierzyć skuteczność zabezpieczeń o Zapisy wymagane przez normę o Deklarację stosowania 4. SZBI [12a] 4. SZBI (13) o Uwaga Tam gdzie w niniejszej normie pojawia się termin udokumentowana procedura, oznacza to że procedura jest zdefiniowana, udokumentowana, wdrożona i utrzymywana Zakres dokumentacji SZBI może być odmienny dla różnych organizacji z uwagi na Wielkość i rodzaj działalności Zakres i złożoność wymagań bezpieczeństwa oraz zarządzanego systemu Dokumenty i zapisy mogą przybrać dowolną formę lub być przechowywane na dowolnym typie nośnika 4.3.2. Nadzór nad dokumentami Dokumenty wymagane przez SZBI powinny być chronione i nadzorowane Udokumentowana procedura powinna być ustanowiona w celu: o zatwierdzania dokumentów przed ich wydaniem, o przeglądu i aktualizacji dokumentów w razie potrzeby oraz ponownego zatwierdzania. o zapewnienia, że zidentyfikowano zmiany i aktualny status zmian dokumentów, o zapewnienia, że najnowsze wersje odpowiednich dokumentów są dostępne w miejscach ich użytkowania, 03/11/2010 (c) BSz Strona 7 z 12

4. SZBI(14) o zapewnienia, że dokumenty pozostają czytelne i łatwe do zidentyfikowania, o Zapewnienia że dokumenty są dostępne dla osób które ich potrzebują i są przesyłane, przechowywane i ostatecznie usuwane zgodnie z procedurami zgodnymi z ich klasyfikacją o zapewnienia, że dokumenty pochodzące z zewnątrz są zidentyfikowane o zapewnienia,że rozpowszechnianie dokumentów jest nadzorowane o zapobiegania niezamierzonemu stosowaniu nieaktualnych dokumentów o zastosowanie odpowiedniej ich identyfikacji, jeżeli są zachowane z jakichkolwiek powodów. SZBI (15) 4.3.2. Nadzór nad zapisami W celu dostarczenia świadectwa potwierdzającego zgodność z wymaganiami oraz skutecznej eksploatacji SZBI powinny być ustanowione i utrzymywane zapisy. o Zapisy powinny być chronione i nadzorowane o SZBI powinien uwzględniać wszystkie odnośne wymagania prawna, wymagania nadzoru i kontraktowe o Zapisy powinny być zawsze czytelne, łatwe do zidentyfikowania i odtwarzalne 4. SZBI (16) o Należy udokumentować i wdrożyć zabezpieczenia służące do identyfikowania, przechowywania, ochrony, odtwarzaniu archiwizacji czasu przechowywania Niszczenia zapisów o Zapisy powinny dotyczyć realizacji procesów zgodnie z opisem zawartym w 4.2 oraz wszystkich incydentów związanych bezpieczeństwem w odniesieniu do SZBI Przykłady Lista gości, Raporty z audytów, Autoryzacja dostępu 5. Odpowiedzialność kierownictwa (1) 5.1. Zaangażowanie kierownictwa Kierownictwo powinno przedstawić świadectwo zaangażowania w ustanowienie, eksploatację, monitorowanie, przeglądy, utrzymanie obsługę i doskonalenie SZBI poprzez o Ustanowienie polityki SZBI o Zapewnienie że cele i plany bezpieczeństwa informacji zostały ustanowione o Określenie ról i zakresów odpowiedzialności za bezpieczeństwo informacji o Informowanie organizacji o znaczeniu realizacji celów bezpieczeństwa informacji oraz zgodności z polityką bezpieczeństwa, odpowiedzialności wobec prawa oraz potrzeby ciągłego doskonalenia o Dostarczanie wystarczających zasobów dla opracowania, wdrożenia, monitorowania, przeglądów, eksploatacji i utrzymania SZBI o Decydowanie o kryteriach akceptowania ryzyka i akceptowanym poziomie ryzyka o Zapewnienia przeprowadzania wewnętrznych audytów SZBI o Przeprowadzanie przeglądów SZBI realizowanych przez kierownictwa 03/11/2010 (c) BSz Strona 8 z 12

5. Odpowiedzialność kierownictwa (2) 5.2. Zarządzanie zasobami 5.2.1 Zapewniania zasobów Organizacja powinna określić i zapewnić zasoby potrzebne dla o Ustanowienia, wdrożenia, eksploatacji monitorowania, przeglądu utrzymania i doskonalenia SZBI o Zapewnienia że procedury bezpieczeństwa informacji wspomagają wymagania biznesu o Identyfikacji i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań kontraktowych o Utrzymania odpowiedniego bezpieczeństwa przez poprawne wdrożenie wszystkich zastosowanych zabezpieczeń o przeprowadzenia przeglądów kiedy to konieczne oraz odpowiedniego reagowania na ich wyniki o poprawy skuteczności SZBI tam, gdzie jest to wymagane 5. Odpowiedzialność kierownictwa (3) 5.2.2. Szkolenie, uświadomienie i kompetencje Organizacja powinna zapewnić że cały personel, który posiada zakresy obowiązków określone w SZBI jest kompetentny do wykonywania wymaganych zadań poprzez: o Określanie koniecznych kompetencji personelu wykonującego prace wpływające na SZBI o zapewnienie kompetentnego szkolenia lub podjęcia innych działań np. zatrudnianie kompetentnych pracowników) w celu realizacji tych potrzeb o Ocenę skuteczności przeprowadzonych szkoleń i podjętych działań o prowadzeniu zapisów o wykształceniu, szkoleniach, umiejętnościach, doświadczeniu i kwalifikacjach Organizacja powinna zapewnić, że cały odpowiedni personel jest świadomy co do związku i znaczenia swoich działań dotyczących bezpieczeństwa informacji oraz wkładu dla osiągnięcie celów SZBI 6. Audyty wewnętrzne 6. Audyty wewnętrzne(2) 6. Wewnętrzne audyty SZBI Audyty powinny być przeprowadzane w zaplanowanych odstępach czasu w celu określenia czy: o Cele stosowania zabezpieczeń o Zabezpieczenia o Procesy o Procedury są o Zgodne z wymaganiami normy i odpowiednimi przepisami prawa oraz regulacyjnym o Zgodne z zidentyfikowanymi wymaganiami bezpieczeństwa informacji o Faktycznie wdrożone i utrzymywane o Realizowane w oczekiwany sposób Program audytu powinien być zaplanowany przy uwzględnieniu o Statusu procesów i obszarów o Znaczenia procesów o Znaczenia obszarów o Wyników poprzednich audytów Należy określić: o Kryteria audytu o Zakres o Częstotliwość o Metody audytów 03/11/2010 (c) BSz Strona 9 z 12

6. Audyty wewnętrzne (3) Wybór audytorów i prowadzenie audytu powinno być o Obiektywne o Bezstronne o Nie obejmować obszaru pracy audytora Zakresy obowiązków, wymagania dla planowania i prowadzenia audytu oraz wykonywania raportów i utrzymywania zapisów powinno być określone w udokumentowanej procedurze Odpowiedzialność kierownictwa za audytowany obszar powinna zapewnić że działania w celu eliminacji wykrytych niezgodności i ich przyczyn powinny być przeprowadzone bez nieuzasadnionej zwłoki Działania poaudytowe powinny obejmować o weryfikacje podjętych działań i o Informowanie o wynikach weryfikacji Uwaga norma ISO 19011 może dostarczyć pomocnych wytycznych do przeprowadzenia wewnętrznych audytów SZBI 7. Przeglądy dokonywane przez kierownictwo (2) 7.1. Wstęp Kierownictwo powinno dokonywać przeglądów SZBI w regularnych odstępach czasu w celu zapewnienia o Poprawności o Odpowiedniości o Skuteczności Przegląd powinien zawierać o ocenione możliwości dla doskonalenia o Potrzeby zmian w SZBI w tym Polityki bezpieczeństwa i celów bezpieczeństwa Wyniki przeglądu powinny być o udokumentowane a zapisy przechowywane 7. Przeglądy dokonywane przez kierownictwo (3) 7.2. Dane wejściowe do przeglądu powinny zawierać : o Informacje o wynikach audytów SZBI oraz poprzednich przeglądach o Informacje zwrotne od zainteresowanych stron o Rozwiązania techniczne, produkty lub procedury, które mogą być użyte aby doskonalić wydajność i skuteczności SZBI o Status działań korygującyjnych i zapobiegawczych o Podatności i zagrożenie co do których nie było odpowiedniego odniesienia w poprzedniej ocenie ryzyka o Wyniki pomiaru skuteczności o Działania wykonane na skutek poprzednich przeglądów realizowanych przez kierownictwo o Jakiekolwiek zmiany które mogą dotyczyć SZBI o Zalecenia dotyczące doskonalenia 7. Przeglądy dokonywane przez kierownictwo (4) 7.3. Dane wyjściowe z przeglądu powinny zawierać wszystkie decyzje i działania związane z o Doskonaleniem skuteczności SZBI o Uaktualnienie planu szacowania ryzyka i postępowania z ryzykiem o Modyfikacja procedur dotyczących bezpieczeństwa informacji, jeśli jest to konieczne, w celu reakcji, na wewnętrzne lub zewnętrzne zdarzenia które mogą mieć konsekwencje dla SZBI w tym zawierające zmiany w: Wymaganiach biznesowych Wymaganiach bezpieczeństwa Procesach biznesowych mających wpływ na wymagania biznesowe Uwarunkowaniach prawnych lub wymagań nadzoru Poziomie ryzyka i/lub poziomów akceptacji ryzyka o Potrzebnymi zasobami o Doskonaleniem pomiarów skuteczności zabezpieczeń 03/11/2010 (c) BSz Strona 10 z 12

8. Doskonalenie SZBI (1) 8.1. Ciągłe doskonalenie Organizacja powinna ciągle doskonalić skuteczność SZBI poprzez o Stosowanie polityki bezpieczeństwa informacji o Cele bezpieczeństwa o Wyniki audytów o Analizę monitorowanych zdarzeń o Działania korygujące o Działania zapobiegawcze o Przeglądy realizowane przez kierownictwo 8. Doskonalenie SZBI (2) 8.2. Działania korygujące Organizacja powinna podjąć działania w celu wyeliminowania przyczyn niezgodności związanych z wdrożeniem i funkcjonowaniem SZBI aby przeciwdziałać powtórnym ich wystąpieniom Udokumentowana procedura dla działania korygującego powinna określić wymagania dla: o Zidentyfikowaniu niezgodności o Stwierdzaniu przyczyn niezgodności o Oceny potrzeby działań w celu zapewnienia, że niezgodności się nie powtórzą o Wskazaniu i wdrożeniu potrzebnych działań korygujących o zapisów rezultatów podjętych działań o Przeglądu podjętych działań korygujących 8. Doskonalenie SZBI (3) 8.3. Działania zapobiegawcze Organizacja powinna wskazywać działanie podejmowane w celu ochrony przed przyszłymi niezgodnościami tak, aby przeciwdziałać ich wystąpieniu. Działania zapobiegawcze powinny być dostosowane do wagi potencjalnych problemów. 8. Doskonalenie SZBI (4) Udokumentowana procedura działań zapobiegawczych powinna określić wymagania dla: o zidentyfikowania potencjalnych niezgodności i ich przyczyn, o Oceny potrzeby działania zapobiegawczego w celu zapobieżeniu niezgodnościom o wskazania i wdrożenia potrzebnego działania zapobiegawczego o zapisu rezultatów podjętych działań o przeglądu podjętych działań zapobiegawczych. Organizacja powinna zidentyfikować zmienione ryzyka o zwracając uwagę na znacząco zmienione ryzyka Należy wskazać priorytety działań zapobiegawczych w oparciu o wyniki szacowania ryzyka o Uwaga działania zapobiegające niezgodnościom są często bardziej efektywne kosztowo niż działania korygujące 03/11/2010 (c) BSz Strona 11 z 12

Załącznik A A5. Polityka bezpieczeństwa A6. Organizacja bezpieczeństwa informacji A7. Zarządzanie aktywami A8. Bezpieczeństwo zasobów ludzkich A9. Bezpieczeństwo fizyczne i środowiskowe A10. Komunikacja i zarządzanie operacyjne A11. Kontrola dostępu A12. Wdrażanie, rozwój i utrzymanie systemu A13. Zarządzanie incydentami związanymi z bezpieczeństwem A14. Zarządzanie ciągłością działania A15. Zgodność Załącznik B zasady OECD Świadomość Zaleca się, aby uczestnicy byli świadomi potrzeby bezpieczeństwa systemów informacyjnych i sieci oraz tego co mogą zrobić, aby wzmocnić bezpieczeństwo. Odpowiedzialność Wszyscy uczestnicy są odpowiedzialni za bezpieczeństwo systemów informacyjnych i sieci. Reakcja Zaleca się, aby uczestnicy współpracowali ze sobą, a ich działania były podejmowane we właściwym czasie, aby zapobiegać, wykrywać i reagować na incydenty bezpieczeństwa. Załącznik B Szacowanie ryzyka Zaleca się, aby uczestnicy przeprowadzili Szacowanie ryzyka. Bezpieczne projektowanie i wdrożenie Zaleca się, aby uczestnicy włączyli bezpieczeństwo jako istotny element systemów informacyjnych i sieci. Zarządzanie bezpieczeństwem Zaleca się, aby uczestnicy wprowadzili wszechstronne podejście do zarządzania bezpieczeństwem. Powtórna ocena Zaleca się, aby uczestnicy przejrzeli i oszacowali bezpieczeństwo systemów informacyjnych i sieci oraz odpowiednio zmodyfikowali polityki bezpieczeństwa, praktyki, środki i procedury. Załącznik C Porównanie pomiędzy normami ISO 27001:2005 ISO 9001:2000 ISO 14001:2004 03/11/2010 (c) BSz Strona 12 z 12