130 likes | 284 Views
Eksploatacja zasobów informatycznych przedsiębiorstwa. Norma PN-ISO/IEC 27001:2007. Bezpieczeństwo Informacji. Norma PN-ISO/IEC 27001. Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 Zastępuje normę PN-I-07799-2:2005 Obejmuje: Technika informatyczna
E N D
Norma PN-ISO/IEC 27001:2007 Bezpieczeństwo Informacji
Norma PN-ISO/IEC 27001 • Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 • Zastępuje normę PN-I-07799-2:2005 • Obejmuje: • Technika informatyczna • Techniki bezpieczeństwa • Systemy zarządzania bezpieczeństwem informacji
Podejście procesowe • Podejście: Plan-Do-Check-Act (PDCA) Planuj – Wykonuj – Sprawdzaj – Działaj: • Planuj – stworzenie SZBI • Wykonuj – wdrożenie i eksploatacja SZBI • Sprawdzaj – monitorowanie i przegląd SZBI • Działaj – utrzymanie i doskonalenie SZBI
Zgodność z innymi systemami • Dostosowana do ISO 9001:2000 i ISO 14001:2004 • Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania • Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami
Zawartość normy • Terminy i definicje • System zarządzania bezpieczeństwem informacji (SZBI) • Odpowiedzialność kierownictwa • Wewnętrzne audyty SZBI • Przeglądy SZBI (realizowane przez kierownictwo) • Doskonalenie SZBI • Załączniki
SZBI • Ustanowienie SZBI • Wdrożenie i eksploatacja SZBI • Monitorowanie i przegląd SZBI • Utrzymanie i doskonalenie SZBI • Wymagania dotyczące dokumentacji • Jakie dokumenty • Nadzór nad dokumentami • Nadzór nad zapisami
Odpowiedzialność kierownictwa • Zaangażowanie kierownictwa • Kierownictwo powinno okazać swoje zaangażowanie (w: U W E M P U D) • Zarządzanie zasobami • Zapewnienie zasobów – organizacja powinna zapewnić potrzebne zasoby • Szkolenie, uświadamianie i kompetencje – organizacja powinna zapewnić, że cały personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje do realizacji zadań
Wewnętrzne audyty SZBI • Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu • Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów powinny być udokumentowane w procedurze • Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczyn
Przeglądy SZBI (kierowonictwo) • Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych odstępach czasu • Nie rzadziej niż raz w roku • Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby zmian • Wyniki powinny być udokumentowane a zapisy przechowywane
Doskonalenie SZBI • Ciągłe doskonalenie • Organizacja powinna w sposób ciągły poprawiać skuteczność SZBI • Działania korygujące • W celu przeciwdziałania niezgodnością organizacja powinna podejmować w celu wyeliminowania ich przyczyn • Działania zapobiegawcze • Organizacja powinna podejmować działania zapobiegawcze
Załącznik A • Załącznik A - normatywny; • Cele stosowania zabezpieczeń i zabezpieczenia • Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych
Załączniki B i C • Załącznik B - informacyjny • Zasady OECD i Norma Międzynarodowa • Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci (OECD- Organization for Economic Co-operation and Development) • Załącznik C - informacyjny • Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004