Eksploatacja zasobów Eksploatacja zasobów informatycznych informatycznych przedsiębiorstwaprzedsiębiorstwa

Norma PN-ISO/IEC 27001:2007Norma PN-ISO/IEC 27001:2007

Bezpieczeństwo InformacjiBezpieczeństwo Informacji

Norma PN-ISO/IEC 27001Norma PN-ISO/IEC 27001

Jest tłumaczeniem (bez zmian) angielskiej Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC wersji normy międzynarodowej ISO/IEC 2700127001

Zastępuje normę PN-I-07799-2:2005Zastępuje normę PN-I-07799-2:2005

Obejmuje:Obejmuje: Technika informatycznaTechnika informatyczna Techniki bezpieczeństwaTechniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Systemy zarządzania bezpieczeństwem

informacjiinformacji

Podejście procesowePodejście procesowe

PodejściePodejście: Plan-Do-Check-Act (PDCA) : Plan-Do-Check-Act (PDCA)

Planuj – Wykonuj – Sprawdzaj – Działaj:Planuj – Wykonuj – Sprawdzaj – Działaj:PlanujPlanuj – stworzenie SZBI – stworzenie SZBIWykonujWykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja SZBISprawdzajSprawdzaj – monitorowanie i przegląd – monitorowanie i przegląd

SZBISZBIDziałajDziałaj – utrzymanie i doskonalenie SZBI – utrzymanie i doskonalenie SZBI

Zgodność z innymi systemamiZgodność z innymi systemami

Dostosowana do ISO 9001:2000 i ISO Dostosowana do ISO 9001:2000 i ISO 14001:200414001:2004

Wspieranie spójnego wdrażania z innymi Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzanianormami dotyczącymi zarządzania

Norma 27001 została tak zaprojektowana, Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi lub zintegrowanie swojego SZBI z innymi systemamisystemami

Zawartość normyZawartość normy

Terminy i definicjeTerminy i definicjeSystem zarządzania bezpieczeństwem System zarządzania bezpieczeństwem informacji (SZBI)informacji (SZBI)Odpowiedzialność kierownictwaOdpowiedzialność kierownictwaWewnętrzne audyty SZBIWewnętrzne audyty SZBIPrzeglądy SZBI (realizowane przez Przeglądy SZBI (realizowane przez kierownictwo)kierownictwo)Doskonalenie SZBIDoskonalenie SZBIZałączniki Załączniki

SZBISZBI

Ustanowienie SZBIUstanowienie SZBI

Wdrożenie i eksploatacja SZBIWdrożenie i eksploatacja SZBI

Monitorowanie i przegląd SZBIMonitorowanie i przegląd SZBI

Utrzymanie i doskonalenie SZBIUtrzymanie i doskonalenie SZBI

Wymagania dotyczące dokumentacjiWymagania dotyczące dokumentacji Jakie dokumentyJakie dokumenty Nadzór nad dokumentamiNadzór nad dokumentami Nadzór nad zapisamiNadzór nad zapisami

Odpowiedzialność kierownictwaOdpowiedzialność kierownictwa

Zaangażowanie kierownictwaZaangażowanie kierownictwa Kierownictwo powinno okazać swoje Kierownictwo powinno okazać swoje

zaangażowanie (w: U W E M P U D)zaangażowanie (w: U W E M P U D)

Zarządzanie zasobamiZarządzanie zasobami Zapewnienie zasobów – organizacja powinna Zapewnienie zasobów – organizacja powinna

zapewnić potrzebne zasobyzapewnić potrzebne zasoby Szkolenie, uświadamianie i kompetencje – Szkolenie, uświadamianie i kompetencje –

organizacja powinna zapewnić, że cały organizacja powinna zapewnić, że cały personel, któremu przypisano personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje odpowiedzialności w SZBI ma kompetencje do realizacji zadańdo realizacji zadań

Wewnętrzne audyty SZBIWewnętrzne audyty SZBI

Organizacja powinna przeprowadzać Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w wewnętrzne audyty SZBI w zaplanowanych odstępach czasuzaplanowanych odstępach czasu

Wymagania i odpowiedzialność za Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów planowanie i przeprowadzanie audytów powinny być udokumentowane w powinny być udokumentowane w procedurzeprocedurze

Kierownictwo odpowiada za brak opóźnień Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczynw eliminacji odstępstw i ich przyczyn

Przeglądy SZBI (kierowonictwo)Przeglądy SZBI (kierowonictwo)

Kierownictwo powinno przeprowadzać Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych przeglądy SZBI w a zaplanowanych odstępach czasuodstępach czasu

Nie rzadziej niż raz w rokuNie rzadziej niż raz w roku

Przegląd powinien zawierać ocenę Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby możliwości doskonalenia SZBI i potrzeby zmianzmian

Wyniki powinny być udokumentowane a Wyniki powinny być udokumentowane a zapisy przechowywanezapisy przechowywane

Doskonalenie SZBIDoskonalenie SZBI

Ciągłe doskonalenieCiągłe doskonalenie Organizacja powinna w sposób ciągły Organizacja powinna w sposób ciągły

poprawiać skuteczność SZBIpoprawiać skuteczność SZBI

Działania korygująceDziałania korygujące W celu przeciwdziałania niezgodnością W celu przeciwdziałania niezgodnością

organizacja powinna podejmować w celu organizacja powinna podejmować w celu wyeliminowania ich przyczynwyeliminowania ich przyczyn

Działania zapobiegawczeDziałania zapobiegawcze Organizacja powinna podejmować działania Organizacja powinna podejmować działania

zapobiegawcze zapobiegawcze

Załącznik AZałącznik A

Załącznik A - normatywny; Załącznik A - normatywny;

Cele stosowania zabezpieczeń i Cele stosowania zabezpieczeń i zabezpieczeniazabezpieczenia Lista celów i zabezpieczeń podana w tym Lista celów i zabezpieczeń podana w tym

załączniku nie wyczerpuje wszystkich załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna możliwości i organizacja może/powinna rozważyć zastosowanie innychrozważyć zastosowanie innych

Załączniki B i CZałączniki B i C

Załącznik B - informacyjny Załącznik B - informacyjny

Zasady OECD i Norma Międzynarodowa Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa Wytyczne OECD dotyczące bezpieczeństwa

systemów informacyjnych i siecisystemów informacyjnych i sieci((OECD-OECD- Organization for Economic Co-operation and Organization for Economic Co-operation and

Development)Development)

Załącznik C - informacyjny Załącznik C - informacyjny Opisuje powiązania z normamiOpisuje powiązania z normami

ISO 9001:2000ISO 9001:2000

ISO 14001:2004ISO 14001:2004