Sławomir Wawak 1 1 Uniwersytet Ekonomiczny w Krakowie Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO 27001 Operation and improvement of information security management systems in the revised ISO 27001 Słowa kluczowe (3-4): bezpieczeństwo informacji, ISO 27001, nowelizacja, ocena Key words (3-4): information security, ISO 27001, revision, evaluation Streszczenie Bezpieczeństwo informacji staje się coraz ważniejszym aspektem zarządzania organizacją. System zarządzania bezpieczeństwem informacji pozwala na efektywne podejście do tej kwestii. Pierwsza wersja normy ISO 27001 jest oceniana dobrze. Po ośmiu latach funkcjonowania konieczna stała się jednak jej aktualizacja. Nowelizacja wprowadza nowe wymagania, a także poprawia niedoskonałości pierwszej wersji. W artykule omówiono funkcjonowanie pierwszej wersji normy, zmiany wprowadzone przez nowelizację, a także wskazano na konieczne zmiany w przedsiębiorstwach aktualizujących certyfikat. Abstract Information security becomes increasingly important aspect of enterprise management. Information security management system enables top management to efficiently approach this issue. The first version of ISO 27001 is being highly evaluated. However, after eight years some updates were necessary. The 2013 revision introduces new requirements and improves the shortcomings of 2005 version. The article discusses effects of eight year of ISO 27001 availability, changes introduced by the revision, and points out the necessary changes in the enterprises updating their ISO 27001 certificates. Wprowadzenie Rosnące znaczenie bezpieczeństwa informacji skłania przedsiębiorstwa do poszukiwania sposobów zabezpieczenia danych własnych, jak i powierzonych przez klientów. Początkowe nastawienie na zabezpieczenia informatyczne i techniczne okazało się niewystarczające wobec stwierdzenia prób wykorzystania słabości organizacyjnych dla wyłudzenia informacji. Poszukiwania systemowego rozwiązania problemu doprowadziło do powstania zbiorów dobrych praktyk, a w dalszej kolejności standardów. Rozwój norm opisujących systemy zarządzania
stworzył dobrą bazę dla opisania wymagań stawianych systemom zarządzania bezpieczeństwem informacji. W 2014 roku ISO dokonało podsumowania efektów wdrażania wymagań normy ISO 27001:2005 w latach 2006-2013. Jednocześnie w 2013 roku ukazała się nowelizacja tej normy. Stanowi to dobrą okazję dla oceny funkcjonowania dotychczasowego standardu, prezentacji nowych wymagań, a także wskazania obszarów zmian dla przedsiębiorstw, które wdrożyły poprzednią wersję. Zadania te stanowią jednocześnie cele niniejszego opracowania. Publikacja została sfinansowana ze środków przyznanych Wydziałowi Zarządzania Uniwersytetu Ekonomicznego w Krakowie, w ramach dotacji na utrzymanie potencjału badawczego. 1. Funkcjonowanie standardu ISO/IEC 27001:2005 Norma ISO/IEC 27001:2005 została opracowana na podstawie wcześniejszych doświadczeń związanych ze stosowaniem zabezpieczeń w przemyśle, których początkiem było opublikowanie w 1992 roku przez Departament Handlu i Przemysłu Wielkiej Brytanii A code of practice for Information Security Management. W trzy lata później dokument ten został zaktualizowany, rozszerzony i opublikowany jako brytyjska norma BS 7799. W 1999 roku opublikowano pierwszą nowelizację normy, a już rok później, korzystając z szybkiej ścieżki, wydano jako standard międzynarodowy ISO/IEC 17799:2000. Norma ISO/IEC 17799 prezentowała zabezpieczenia organizacji i systemów informatycznych pogrupowane w obszary zabezpieczeń; wskazywała także na możliwe sposoby ich wdrażania i monitorowania skuteczności. W roku 2002 BSI wydało drugi arkusz normy BS 7799, który dotyczył konstrukcji systemu zarządzania bezpieczeństwem informacji (SZBI). Rozszerzał zatem dotychczasowe unormowania o zasady budowania i wdrażania spójne z założeniami systemów zarządzania jakością oraz zarządzania środowiskowego (ISO/IEC 9001:2000 i ISO/IEC 14001:1999). Stał się on, wspomnianą wcześniej, normą międzynarodową ISO/IEC 27001 w 2005 roku. Natomiast norma ISO/IEC 17799 otrzymała nowy numer ISO/IEC 27002. Rodzina norm ISO 27000 początkowo składała się z dwu norm, aby w ciągu kilku następnych lat rozrosnąć się do kilkunastu. W latach 2005-2010 opublikowano następujące normy tej rodziny: ISO/IEC 27000:2009 Technologia informacyjna, techniki bezpieczeństwa, przegląd i terminologia, ISO/IEC 27001:2005 Technologia informacyjna, techniki bezpieczeństwa, system zarządzania bezpieczeństwem informacji, wymagania, ISO/IEC 27002:2005 Technologia informacyjna, techniki bezpieczeństwa,
praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003:2010 Technologia informacyjna, techniki bezpieczeństwa, wskazówki wdrażania systemów zarządzania bezpieczeństwem informacji (SZBI), ISO/IEC 27004:2009 Technologia informacyjna, techniki bezpieczeństwa, pomiary, ISO/IEC 27005:2008 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie ryzykiem w bezpieczeństwie informacji, ISO/IEC 27006:2007 Technologia informacyjna, techniki bezpieczeństwa, wymagania dla instytucji audytujących i certyfikujących w zakresie systemów zarządzania bezpieczeństwem informacji. Ponadto po roku 2010 publikowano kolejne normy odnoszące się do specyfiki sektorów (np. telekomunikacji), komunikacji pomiędzy organizacjami, wybranych obszarów zabezpieczeń, wytycznych dla audytu, a także ekonomiki przedsiębiorstwa. W latach 2006-2013 wydano łącznie 22293 certyfikaty ISO 27001, z czego ponad 35% w Europie (rys. 1). Największy sukces norma odniosła w Japonii, w której miało miejsce ponad 31% ogólnej liczby wdrożeń. W tym samym czasie certyfikowano ponad 232 tys. wdrożeń ISO 9001 i 173 tys. ISO 14001. 25000 20000 22293 15000 10000 5000 7950 świat Europa Polska 0 2007 2008 2009 2010 2011 2012 2013 307 Rys. 1. Liczba wydanych certyfikatów ISO 27001 Źródło: opracowanie na podstawie The ISO Survey 2014.
Procentowy przyrost w ujęciu rocznym jest znacznie wyższy w przypadku normy ISO 27001 (14%) niż w przypadku ISO 9001 (ok. 1%). Można zatem przyjąć, że popularność standardu rośnie. Wzrost ten jest jednak wolniejszy niż zakładano na początku. Norma nie stała się naturalnym rozszerzeniem ISO 9001. Jej zastosowanie ogranicza się do dużych i średnich instytucji, a także wybranych sektorów gospodarki. W Polsce do 2013 roku wydano 307 certyfikatów. Dynamika liczby certyfikatów jest w Polsce nieznacznie wyższa niż średnia europejska i światowa (rys. 2). Spowolnienie gospodarcze spowodowało, znaczne zmniejszenie liczby wydanych certyfikatów w Polsce w latach 2010 i 2011. Niebezpiecznie rośnie także liczba nieprzedłużonych certyfikatów. W 2011 r. sięgnęła ona 12% ogólnej liczby wdrożeń. Ze względu na opóźnienie w raportowaniu, nie opublikowano dotychczas danych za lata 2012 i 2013. Nie jest zatem jasne, czy rezygnacje wynikały ze spowolnienia gospodarczego czy też nieprzydatności standardu. 800 700 600 500 400 300 świat Europa Polska 200 100 0 2007 2008 2009 2010 2011 2012 2013 Rys. 2. Dynamika wdrażania ISO 27001 [2007 = 100] Źródło: opracowanie na podstawie The ISO Survey 2014. System zarządzania bezpieczeństwem informacji zyskał popularność przede wszystkim w sektorze IT, gdzie zanotowano 57% wdrożeń (rys. 3). W czołowej piątce znalazły się także sektory usług innych, budownictwa, transportu i ko-
munikacji oraz wyposażenia elektrycznego i oświetlenia. Łącznie mają one 78% udziału w ogólnej liczbie certyfikowanych systemów ISO 27001. Norma ISO/IEC 27001:2005 została opracowana na bazie struktury stosowanej w normach systemów zarządzania. Jednak ze względu na wyłączenie kluczowej jej części (listy zabezpieczeń) do załącznika, w treści wyraźna była asymetria bardzo rozbudowany rozdział 4 opisujący zasady wdrażania, eksploatacji i monitorowania systemu, a obok w szczątkowej formie rozdziały 5 8. Treść tych rozdziałów odpowiadała rozdziałowi 5 i 8 normy ISO 9001. Szczegółowe wymagania w zakresie wdrażania systemu ograniczały elastyczność stosowania standardu. Próby wdrożenia go przez Autora w instytucjach administracji samorządowej wykazały, że część zabezpieczeń nie ma tu zastosowania lub powinna być stosowana w ograniczonym zakresie. Pozostałe 22% Wyposażenie elektryczne i optyczne 3% Transport i komunikacja 4% Budownictwo 4% Technologie informacyjne 57% Usługi inne 10% Rys. 3. Sektory gospodarki najczęściej wdrażające ISO 27001 (świat) Źródło: opracowanie na podstawie The ISO Survey 2014. Ponadto brakowało wytycznych do wdrażania systemów zarządzania bezpieczeństwem informacji. Zostały one opublikowane dopiero w latach kolejnych. Część z nich występuje wyłącznie w języku angielskim. Braki dotyczyły również podejść do zarządzania ryzykiem. Nadmiernie szczegółowe podejście metod pre-
zentowanych w normie referencyjnej ISO 13335-1 1 powodowało, że niepotrzebnie komplikowano identyfikację czynników ryzyka. Przy tym brak wytycznych dla audytorów powodował, że kurczowo trzymali się oni zaleceń tej normy. Wprowadzenie wymagania zarządzania ryzykiem spowodowało w praktyce powielenie funkcji działań zapobiegawczych. Wprawdzie zachowanie tych działań utrzymywało formalną kompatybilność z innymi standardami, jednak w wielu organizacjach nie podejmowano ich lub jedynie symulowano ich stosowanie. W praktyce identyfikacja czynników ryzyka w pełni zastępowała potrzebę prowadzenia działań zapobiegawczych. Ogólna ocena normy ISO/IEC 27001:2005 jest pozytywna. Wprowadziła ona systemowe podejście do zarządzania bezpieczeństwem informacji. Dzięki temu przedsiębiorstwa mają możliwość szybkiego podniesienia poziomu bezpieczeństwa informacji. Jednocześnie należy zauważyć, że ta norma nie opisuje zaawansowanych technik. Ma ona raczej charakter podstawowy. 2. Zmiany wprowadzone przez nowelizację Zmiany wprowadzone przez nowelizację można zakwalifikować do trzech grup. Pierwszą grupę stanowią zmiany istotnie wpływające na ideę funkcjonowania systemu. Zaliczyć do nich można: wprowadzenie pojęcia kontekstu organizacji, wprowadzenie zainteresowanych stron w miejsce interesariuszy, doprecyzowanie wymagań dla kierownictwa, rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji, położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka, rozszerzenie postępowania z czynnikami ryzyka o szanse, rozszerzenie zakresu oceny systemu, wprowadzenie wymagań dotyczących komunikacji. Drugą grupę stanowią zmiany metod stosowanych w standardzie. Należą do niej: rezygnacja z działań zapobiegawczych, uelastycznienie podejścia do dokumentacji, uproszczenie podejścia do szacowania ryzyka. Ostatnią grupę stanowią drobne zmiany, których wpływ na funkcjonowanie systemu jest ograniczony: 1 ISO 13335-1:2004 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie bezpieczeństwem ICT, cześć 1: koncepcje i modele zarządzania bezpieczeństwem ICT, ISO, Geneva 2004
możliwość zastąpienia cyklu PDCA inną koncepcją doskonalenia, ściślejsze powiązanie zabezpieczeń z postępowaniem z czynnikami ryzyka, wprowadzenie pojęcia właściciela czynnika ryzyka zastępującego właściciela aktywów. W pierwszej wersji normy organizacja była zobowiązana do określenia zakresu systemu jedynie opierając się na specyfice działalności, lokalizacji, posiadanych aktywach i technologiach. Identyfikacja ograniczała się zatem do czynników wewnętrznych. Takie podejście mogło być niewystarczające w sytuacji, gdy na bezpieczeństwo informacji istotny wpływ ma otoczenie. Dlatego nowelizacja wprowadza wymaganie oceny zarówno wewnętrznych, jak i zewnętrznych czynników. W tym celu należy wykorzystać normę ISO 31000, która wymienia następujące czynniki [ISO 31000:2009 2009, s. 15]: zewnętrzne: o społeczne i kulturowe, polityczne, prawne, regulacyjne, finansowe, ekonomiczne, ekologiczne, wynikające z funkcjonowania na konkurencyjnym rynku, na poziomie międzynarodowym, krajowym, regionalnym i lokalnym, o kluczowe czynniki i tendencje mające wpływ na cele organizacji, o relacje, postrzeganie oraz wartości zewnętrznych interesariuszy, wewnętrzne: o zarządzanie, struktura organizacyjna, role, odpowiedzialność, o polityki, cele, strategie, do których osiągnięcia organizacja dąży, o potencjał w zakresie zasobów i wiedzy, o relacje, postrzeganie i wartości wewnętrznych interesariuszy, o kulturę organizacyjną, o system informacyjny, przepływ informacji i procesy podejmowania decyzji, o standardy, wytyczne i modele wdrożone przez organizację, o forma i zakres umów. ISO/IEC 27001:2013 podchodzi do tej kwestii jeszcze szerzej i wymaga rozszerzenia pojęcia interesariuszy do zainteresowanych stron. To ich potrzeby i oczekiwania mają być zidentyfikowane i zrozumiane w ramach określania kontekstu organizacji. Dopiero na podstawie tych analiz możliwe jest ustalenie zakresu systemu zarządzania bezpieczeństwem informacji. Zmianie uległo podejście do roli najwyższego kierownictwa organizacji. Poprzednio ograniczało się ono do wykazania zaangażowania przez ustanowienie polityki, celów, określenie ról, itp. Nowelizacja podkreśla rolę przywództwa, któ-
rego miarą mają być wyniki osiągane przez organizację w zakresie realizacji polityk i celów. Należy zatem spodziewać się zmiany praktyki audytu prowadzonego przez firmy certyfikujące i położenie większego nacisku na uzyskiwane efekty podczas rozmów z zarządami organizacji. Nowelizacja zwiększa nacisk na realne funkcjonowanie, a nie tylko dokumentowanie istnienia systemu. Jednym ze środków służących temu jest wprowadzenie wymagania opracowania celów bezpieczeństwa informacji i planowanie ich osiągania. Oznacza to, że organizacje muszą planować i wdrażać zmiany w systemie. Nie jest jednak jasne w jaki sposób powinna postępować organizacja, która zrealizowała swoje cele, a ze względów ekonomicznych czy organizacyjnych nie ma zamiaru lub potrzeby dalej rozwijać systemu. Dotychczas cele były ustalane w polityce oraz dla poszczególnych zabezpieczeń. Miały one charakter statyczny. Znacznie większy nacisk został położony w nowelizacji na planowanie postępowania z czynnikami ryzyka. Obszar ten był dotychczas opisany tylko w kontekście identyfikacji czynników oraz zapewnienia ciągłości działania. Rozszerzone wymagania uwzględniają zarówno czynniki ryzyka, jak i szanse. Obowiązkiem organizacji jest wdrożenie procesu postępowania z czynnikami ryzyka i szansami, który będzie integralną częścią SZBI. Oceniając funkcjonowanie systemu organizacja powinna także oceniać skuteczność identyfikowania i eliminowania czynników ryzyka oraz wykorzystywania szans. Nowelizacja wprowadza także wymagania w zakresie komunikacji. Oczekuje się, że organizacja opracuje zasady lub plan komunikacji, który będzie uwzględniał rodzaje przekazywanych informacji, częstotliwość, adresatów, procesy oraz osoby odpowiedzialne. Nowelizacja wprowadza także szereg mniejszych zmian. Najbardziej widoczną jest rezygnacja z działań zapobiegawczych na rzecz zarządzania ryzykiem. Zmiana ta jest skutkiem powielania się zakresu obu podejść. Działania zapobiegawcze ze względu na nieokreślone źródło informacji o potencjalnych niezgodnościach powodowały problemy w praktycznym zastosowaniu. Metodologia zarządzania ryzykiem jest znacznie bardziej rozbudowana w zakresie identyfikacji czynników ryzyka, ich szacowania, a także podejmowania działań. Podobne zmiany wprowadzane są w pozostałych normach systemów zarządzania. Zrezygnowano z pojęć dokumentów i zapisów. W ich miejsce pojawia się wymóg dokumentowania informacji. To dużo elastyczniejsze podejście pozwala szerzej wykorzystać systemy informatyczne, które w wielu firmach były źródłem większości zapisów w systemie zarządzania bezpieczeństwem informacji. Jednocześnie obowiązek oceny potrzeby i sposobu dokumentowania został przerzucony na kierownictwo przedsiębiorstw. To zarządy będą musiały wykazać, że przyjęte
metody dokumentowania są właściwe, odpowiednie dla firmy, a także z punktu widzenia zainteresowanych stron. Wprowadzenie właściciela czynnika ryzyka w miejsce właściciela aktywów jest krokiem ku pełniejszemu zastosowaniu podejścia systemowego. Może także zachęcić do reorganizacji i optymalizacji struktury organizacyjnej. Rezygnacja z obowiązku identyfikowania zasobów, zagrożeń i podatności spowodowała, że dotychczas stosowane pojęcie właściciela aktywów nie miałoby zastosowania. Zmiany te są wynikiem rezygnacji z metodologii prezentowanej w ISO 13335-1:2004 na rzecz nowocześniejszego podejścia obecnego w normie ISO 31000:2009. Podsumowując omawiane zmiany, warto zwrócić uwagę na zmodyfikowaną strukturę standardu (tabela 1). Rozdziały 4-10 zostały uszeregowane zgodnie z podejściem procesowym. Jednocześnie w tytułach rozdziałów podkreślono kluczowe zadania realizowane przez system zarządzania bezpieczeństwem informacji. Struktura jest spójna z nowymi założeniami dla norm systemów zarządzania, które znajdują odzwierciedlenie także w ISO 9001:2015. Tabela 1. Porównanie struktury omawianych norm ISO 27001:2005 ISO 27001:2013 0 Wprowadzenie 0 Wprowadzenie 1 Zakres normy 1 Zakres normy 2 Powołania normatywne 2 Powołania normatywne 3 Terminy i definicje 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Przywództwo 4 Kontekst organizacji 5 Odpowiedzialność kierownictwa 6 Planowanie 6 Wewnętrzne audyty SZBI 7 Wsparcie 7 Przeglądy SZBI realizowane przez kierownictwo 9 Ocena wyników 8 Działania operacyjne 8 Doskonalenie SZBI 10 Doskonalenie Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Znacznej zmianie uległa także struktura zabezpieczeń proponowanych przez załącznik A normy (tabela 2). Zwiększono liczbę grup zabezpieczeń, zmodyfikowano układ zabezpieczeń, zrezygnowano ze zbyt szczegółowych wymagań, które stanowiły przeszkodę we wdrażaniu systemu w niektórych organizacjach. Podobnie jak w poprzedniej wersji normy, wszystkie zabezpieczenia są szczegółowo omawiane w ISO/IEC 27002, która stanowi niezbędny przewodnik dla wdrażania systemu. Tabela 2. Porównanie struktury zabezpieczeń omawianych norm
ISO 27001:2005 ISO 27001:2013 A.5 Polityka bezpieczeństwa A.5 Polityki bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.7 Bezpieczeństwo zasobów ludzkich A.8 Bezpieczeństwo zasobów ludzkich A.8 Zarządzanie aktywami A.9 Bezpieczeństwo fizyczne i środowiskowe A.9 Kontrola dostępu A.10 Zarządzanie systemami i sieciami A.10 Kryptografia A.11 Kontrola dostępu A.11 Bezpieczeństwo fizyczne i środowiskowe A.12 Pozyskanie, rozwój i utrzymanie systemów informacyjnych A.13 Bezpieczeństwo komunikacji A.12 Bezpieczna eksploatacja A.13 Zarządzanie incydentami związanymi z A.14 Pozyskiwanie, rozwój i utrzymanie systemów bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania A.15 Relacje z dostawcami A.15 Zgodność A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania A.18 Zgodność Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Głównym efektem wdrożenia wymienionych zmian powinno być porzucenie biurokratycznego podejścia do systemu na rzecz aktywnego jego kształtowania. Nowe wymagania wprowadzają możliwość rozliczania zarządu z efektów funkcjonowania systemu, wymuszają aktywne planowanie jego rozwoju, uwzględniają rolę kierownictwa w planowaniu (szczególnie w zakresie identyfikacji szans), a także zmuszają do oceny skuteczności całego systemu. Zmiany te są korzystne z punktu widzenia badaczy bezpieczeństwa informacji, ale jednocześnie znacząco podnoszą wymagania wobec przedsiębiorstw. Praktyczne efekty zmian ujawnią się, gdy utrze się praktyka audytowania. Dopiero bowiem wymagania firm certyfikujących mogą realnie wymusić wprowadzenie tych zmian. 3. Niezbędne zmiany w certyfikowanych przedsiębiorstwach Przedsiębiorstwa, które uzyskały certyfikat zgodności z ISO/IEC 27001:2005 muszą podjąć działania na rzecz spełnienia nowych wymagań. Mimo, że norma została opublikowana w 2013 r., w Polsce dotychczas niewiele organizacji zdecydowało się na zmiany. Wynikało to między innymi z braku polskiego tłumaczenia. To pojawiło się w grudniu 2014 r. Należy więc oczekiwać, że w 2015 roku znacząca liczba przedsiębiorstw będzie wprowadzać zmiany w swoich systemach. Do najpoważniejszych zmian stojących przed przedsiębiorstwami należy zaliczyć określenie kontekstu organizacji. Organizacje muszą jednoznacznie określić przyczyny stosowania standardu i korzyści, jakich oczekują. Powinny wska-
zać znaczenie bezpieczeństwa informacji oraz określić metody zwiększenia zaangażowania kierownictwa oraz poziomu motywacji załogi. Modyfikacja metodologii oceny ryzyka w kierunku stałego procesu służącego postępowaniu z czynnikami ryzyka zwiększy obciążenie stanowisk pracy związanych z zarządzaniem systemem. W dotychczasowym ujęciu szacowanie ryzyka było działaniem okazjonalnym. Teraz ma stać się jednym z kryteriów podejmowania decyzji o funkcjonowaniu firmy. Wprowadzenie nowego poziomu celów bezpieczeństwa informacji może się okazać początkowo trudne ze względu na brak planów doskonalenia systemu w wielu przedsiębiorstwach. Należy jednak zauważyć, że norma nie wymaga, aby każda komórka organizacyjna miała własne cele w tym zakresie. Można zatem przyjąć, że początkowo wystarczy określenie jednego lub kilku głównych kierunków zmian. Więcej pracy przysporzy także rozszerzenie obowiązków w zakresie monitorowania, pomiaru, analizy i oceny systemu. Konieczność oceny skuteczności zapobiegania czynnikom ryzyka oraz wykorzystywania szans będzie wymagała zwiększenia odpowiedzialności spoczywającej na właścicielach czynników ryzyka i osobach odpowiedzialnych za wykorzystanie szans. Pewnych trudności mogą przysporzyć także nowe wymagania związane z identyfikacją wszystkich zainteresowanych stron, integracją z procesami biznesowymi oraz komunikacją. Jednak w przypadku dobrze zarządzanych firmy, które jednocześnie posiadają certyfikat ISO/IEC 9001, może się okazać, że wymagania te są już spełnione. Ze względu na zmianę listy zabezpieczeń oraz zmianę zasad pomiaru ich skuteczności, znaczącej zmianie ulegną deklaracje stosowania zabezpieczeń. Ten podstawowy dokument SZBI będzie musiał zostać napisany w dużej mierze od nowa, co będzie działaniem pracochłonny. Dodatkowym utrudnieniem może być zmiana zakresu systemu spowodowana identyfikacją nowych zainteresowanych stron i rozszerzeniem kontekstu. Do małych i łatwych do wprowadzenia zmian zaliczyć należy: wprowadzenie udokumentowanej informacji w miejsce dokumentów i zapisów, modyfikację polityki bezpieczeństwa informacji, uproszczenia w prowadzeniu oceny ryzyka, zmiany w zakresach odpowiedzialności, zwiększenie roli najwyższego kierownictwa, działania w zakresie świadomości bezpieczeństwa informacji, zmiany w procesie audytu,
zmiany w procesie przeglądu zarządzania, zmiany w zakresie działań korygujących, rozszerzenie możliwości w zakresie doskonalenia systemu. Należy oczekiwać, że wymagania te są aktualnie w dużej mierze spełnione przez przedsiębiorstwa posiadające certyfikowany system ISO/IEC 27001:2005. Konieczne jest jedynie dostosowanie dokumentacji lub nieznaczne zmodyfikowanie procesów. Podsumowanie Decyzje zarządów przedsiębiorstw o wdrażaniu systemów zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC 27001 dowodzą potrzeby istnienia tego standardu. Należy oczekiwać, że jego popularność będzie rosła w miarę wzrostu zrozumienia znaczenia bezpieczeństwa informacji w przedsiębiorstwach. Organizacje, które nie stosują podejścia systemowego w tym zakresie często popadają w skrajności, od polityki nie mam nic do ukrycia do paranoicznego ukrywania podstawowych informacji przed własnymi pracownikami. Standard wskazuje obszary wymagające troski, a jednocześnie umożliwia sprawne funkcjonowanie organizacji. Nowelizacja wprowadza nowe wymagania wymuszające aktywne budowanie systemu w miejsce podejścia biurokratycznego. Jednocześnie eliminuje niedoskonałości pierwszej wersji normy. Jej wprowadzenie należy ocenić pozytywnie. Jednak ostateczną ocenę należy odłożyć do czasu, gdy większa grupa przedsiębiorstw zaktualizuje swoje certyfikaty. Bibliografia [1] ISO 31000:2009, Risk Management, Principles and Guidelines, ISO, Geneva 2009 [2] PN-ISO/IEC 27001:2007, Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2007 [3] PN-ISO/IEC 27001:2014, Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2014 [4] The ISO Survey of Management System Standard Certifications (2006-2013), ISO, Geneva 2014 [5] Wawak S., Bezpieczeństwo informacyjne w kontekście relacji organizacji, w pr. zbior. pod red. J.S. Kardasa Budowanie relacji w zarządzaniu zasobami ludzkimi, Wydawnictwo Studio Emka, Warszawa 2009