ISO/IEC 27001 Bezpieczeństwo Informacji

SZBI (System Zarządzania Bezpieczeństwem Informacji), to systematyczne podejście do zarządzania poufnymi informacjami firmy, dzięki czemu pozostają one bezpieczne. Obejmuje SZBI ludzi, procesy, systemy informatyczne oraz dane stosując proces zarządzania ryzykiem.

Etapy wdrożenia z sukcesem Systemu Bezpieczeństwa Informacji:

  • Ocena potencjalnego ryzyka dla Twojej firmy i identyfikacja obszarów szczególnie narażonych.
  • Wdrożenie systemu zarządzania obejmującego całą organizację pomoże kontrolować sposób i miejsce przechowywania i wykorzystywania informacji.
  • Utrzymanie procesu zarządzania bieżącą i przyszłą polityką bezpieczeństwa informacji.
  • Informowanie pracowników i kontrahentów zewnętrznych o ryzykach i zgłaszaniu incydentów.
  • Monitorowanie aktywności systemu i rejestrowanie aktywności użytkownika.
  • Aktualizowanie systemów informatycznych dzięki najnowszej ochronie.
  • Kontrola dostępu do systemu.
  • Doskonalenie.
  • Analizowanie i monitorowanie czynników zewnętrznych.

SZBI 27001 musi być efektywny z uwzględnieniem analizy ryzyka oraz niskobudżetowy.

Czy da się to osiągnąć – przeczytaj artykuły.

Najważniejsze elementy normy ISO 27001

  1. Polityka bezpieczeństwa informacji (Information Security Policy) – dokument określający cele i zasady związane z bezpieczeństwem informacji w organizacji.
  2. Zarządzanie ryzykiem (Risk Management) – proces identyfikacji, analizy, oceny i zarządzania ryzykiem związanym z bezpieczeństwem informacji w organizacji.
  3. Kontrola dostępu (Access Control) – zapewnienie właściwego poziomu dostępu do zasobów systemu informatycznego w zależności od roli, uprawnień i potrzeb użytkownika.
  4. Kryptografia (Cryptography) – zabezpieczenie danych przez szyfrowanie i odszyfrowywanie informacji.
  5. Kontrola związana z systemami informatycznymi (Information Systems Operations) – zapewnienie właściwego funkcjonowania systemów informatycznych w organizacji, w tym zapewnienie ciągłości działania i szybkiego przywrócenia w przypadku awarii.
  6. Planowanie i zarządzanie ciągłością działania (Business Continuity Planning) – planowanie i przygotowanie organizacji na awarie i kryzysy związane z bezpieczeństwem informacji, w tym zapewnienie ciągłości działania w przypadku zakłóceń.
  7. Zarządzanie incydentami (Incident Management) – proces zarządzania incydentami związanymi z bezpieczeństwem informacji, w tym identyfikacja, analiza, raportowanie i zarządzanie incydentami.
  8. Zarządzanie zasobami ludzkimi (Human Resource Security) – zapewnienie właściwego poziomu bezpieczeństwa informacji poprzez odpowiednie procedury rekrutacji, szkolenia, weryfikacji i zwolnienia pracowników.
  9. Zarządzanie bezpieczeństwem fizycznym (Physical and Environmental Security) – zapewnienie odpowiedniego poziomu bezpieczeństwa fizycznego i środowiskowego dla systemów informatycznych i infrastruktury organizacji.
  10. Bezpieczeństwo komunikacji (Communication Security) – zapewnienie bezpiecznej wymiany informacji i komunikacji w organizacji oraz zewnętrznych partnerów.
  11. Zarządzanie dostawcami (Supplier Relationships) – zapewnienie odpowiedniego poziomu bezpieczeństwa informacji u dostawców i kontrahentów organizacji.
  12. Monitoring i ocena (Monitoring and Review) – stały monitoring, ocena i mierzenie skuteczności działań związanych z bezpieczeństwem informacji.
  13. Audytowanie wewnętrzne (Internal Audit) – niezależne przeprowadzanie audytów wewnętrznych w celu oceny skuteczności i zgodności z wymaganiami normy ISO 27001.
  14. Zarządzanie dokumentacją (Documentation) – tworzenie, zarządzanie i przechowywanie dokumentacji.

Jakimi zagadnieniami zajmuje się ISO 27001?

ISO 27001 zajmuje się zagadnieniami dotyczącymi bezpieczeństwa informacji. Norma ta określa wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System), które zapewniają organizacjom ochronę poufności, integralności i dostępności ich informacji. Główne zagadnienia, którymi zajmuje się ISO 27001, to:

  1. Ocena ryzyka i zarządzanie ryzykiem związanym z bezpieczeństwem informacji.
  2. Planowanie, wdrażanie, funkcjonowanie, monitorowanie, przeglądanie, utrzymanie i doskonalenie systemu zarządzania bezpieczeństwem informacji.
  3. Zapewnienie poufności, integralności i dostępności informacji.
  4. Wdrażanie i utrzymywanie polityk, procedur, zasad i wytycznych dotyczących bezpieczeństwa informacji.
  5. Bezpieczeństwo sieci i systemów informatycznych.
  6. Zarządzanie dostępem i uprawnieniami użytkowników.
  7. Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji.
  8. Ciągłość działania systemów informatycznych.
  9. Szkolenia pracowników w zakresie bezpieczeństwa informacji.
  10. Audytowanie i przeglądanie systemu zarządzania bezpieczeństwem informacji.
  11. Utrzymywanie ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.
  12. Wymiana informacji z podmiotami zewnętrznymi w zakresie bezpieczeństwa informacji.
  13. Wymagania dotyczące outsourcingu.
  14. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
  15. Wymagania prawne i regulacyjne dotyczące bezpieczeństwa informacji.
  16. Podejście oparte na ryzyku do zarządzania bezpieczeństwem informacji.

Checklist 20 najbardziej popularnych zagadnień ISO 27001

  1. Zarządzanie dostępem i uprawnieniami użytkowników.
  2. Bezpieczeństwo sieci i systemów informatycznych.
  3. Ciągłość działania systemów informatycznych.
  4. Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji.
  5. Wymagania dotyczące outsourcingu.
  6. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
  7. Audytowanie i przeglądanie systemu zarządzania bezpieczeństwem informacji.
  8. Utrzymywanie ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.
  9. Zapewnienie poufności, integralności i dostępności informacji.
  10. Wymiana informacji z podmiotami zewnętrznymi w zakresie bezpieczeństwa informacji.
  11. Wymagania prawne i regulacyjne dotyczące bezpieczeństwa informacji.
  12. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji w procesie zarządzania projektami.
  13. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji w procesie zarządzania dostawcami.
  14. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji w procesie wdrażania zmian.
  15. Odpowiedzialność za zarządzanie bezpieczeństwem informacji na różnych szczeblach organizacji.
  16. Wymagania dotyczące monitorowania, pomiaru i doskonalenia skuteczności systemu zarządzania bezpieczeństwem informacji.

W przyszłości można oczekiwać, że ISO 27001 będzie bardziej skoncentrowane na kwestiach związanych z cyberbezpieczeństwem, w szczególności na takich obszarach jak:

  1. Bezpieczeństwo aplikacji webowych i mobilnych
  2. Bezpieczeństwo chmury
  3. Ochrona danych osobowych
  4. Bezpieczeństwo Internetu Rzeczy (IoT)
  5. Zarządzanie ryzykiem cybernetycznym
  6. Ciągłość działania IT
  7. Identyfikacja i autentykacja użytkowników
  8. Analiza zagrożeń i zdarzeń bezpieczeństwa
  9. Zarządzanie incydentami cybernetycznymi
  10. Testowanie penetracyjne
  11. Bezpieczeństwo sieciowe i zarządzanie zabezpieczeniami
  12. Zarządzanie uprawnieniami dostępu
  13. Zarządzanie podatnościami i wdrażanie poprawek bezpieczeństwa
  14. Zarządzanie dostawcami i podwykonawcami
  15. Kontrola dostępu i zarządzanie tożsamością
  16. Analiza zagrożeń dla bezpieczeństwa informacji w czasie rzeczywistym.

Jakie główne analizy przeprowadzamy w zakresie ISO 27001?

W zakresie ISO 27001 przeprowadza się wiele różnych analiz, w tym:

  1. Analiza ryzyka – ocena ryzyka związanego z utratą poufności, integralności i dostępności informacji
  2. Ocena wymagań – ustalenie wymagań związanych z bezpieczeństwem informacji, które powinny zostać zrealizowane przez organizację
  3. Ocena dostawców – analiza dostawców i podwykonawców, którzy przetwarzają lub przechowują informacje organizacji
  4. Analiza luki w zabezpieczeniach – wykrywanie i usuwanie luk w zabezpieczeniach, które mogą prowadzić do naruszenia bezpieczeństwa informacji
  5. Testowanie penetracyjne – symulowanie ataku z zewnątrz lub wewnętrznego ataku na systemy informatyczne w celu sprawdzenia ich odporności na cyberzagrożenia
  6. Analiza podatności – wykrywanie podatności w systemach informatycznych i opracowanie planu zarządzania tymi podatnościami
  7. Analiza zdarzeń bezpieczeństwa – monitorowanie i analiza zdarzeń bezpieczeństwa, które mogą wskazywać na zagrożenie dla bezpieczeństwa informacji
  8. Zarządzanie incydentami – ustalenie procedur postępowania w przypadku incydentów związanych z bezpieczeństwem informacji
  9. Ocena zgodności – ocena, czy organizacja spełnia wymagania normy ISO 27001 i innych regulacji dotyczących bezpieczeństwa informacji.