ISO 27001 — wdrożenie systemu zarządzania bezpieczeństwem informacji
Zakres normy
ISO/IEC 27001 określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI) w organizacji. Norma ma zastosowanie niezależnie od wielkości organizacji, branży czy formy prawnej — obejmuje zarówno przedsiębiorstwa prywatne, jak i jednostki administracji publicznej przetwarzające dane wymagające ochrony.
Dokument został pierwotnie opublikowany w 2005 roku jako rozwinięcie brytyjskiego standardu BS 7799-2, a jego aktualna wersja pochodzi z 2022 roku.
Struktura wymagań
Norma jest zbudowana zgodnie ze strukturą wysokiego poziomu (Annex SL), wspólną dla wszystkich norm systemów zarządzania ISO. Obejmuje ona rozdziały dotyczące kontekstu organizacji, przywództwa, planowania, wsparcia, działań operacyjnych, oceny efektów działania oraz doskonalenia.
Kluczowym elementem procesu wdrożenia jest szacowanie ryzyka bezpieczeństwa informacji — organizacja identyfikuje aktywa informacyjne, zagrożenia i podatności, a następnie określa poziom akceptowalnego ryzyka.
Załącznik A
Załącznik A zawiera katalog zabezpieczeń (kontroli) referencyjnych, które organizacja może zastosować w zależności od wyników analizy ryzyka. W wersji normy z 2022 roku zabezpieczenia zostały pogrupowane w cztery kategorie tematyczne: organizacyjne, dotyczące ludzi, fizyczne oraz technologiczne.
Wybór zabezpieczeń jest dokumentowany w Deklaracji Stosowania (Statement of Applicability, SoA), która stanowi jeden z obowiązkowych dokumentów systemu.
Etapy wdrożenia
Typowy proces wdrożenia SZBI obejmuje kilka następujących po sobie etapów: określenie zakresu systemu, przeprowadzenie analizy ryzyka, opracowanie polityki bezpieczeństwa informacji, wdrożenie wybranych zabezpieczeń, przeszkolenie pracowników oraz przeprowadzenie audytu wewnętrznego poprzedzającego certyfikację przez niezależną jednostkę certyfikującą.
Pytania i odpowiedzi
Czy certyfikacja ISO 27001 jest obowiązkowa?
Certyfikacja nie jest obowiązkowa z mocy prawa dla większości organizacji, jednak bywa wymagana w postępowaniach przetargowych lub przez kontrahentów jako potwierdzenie stosowanych praktyk bezpieczeństwa.
Jak długo ważny jest certyfikat?
Certyfikat wydawany jest zazwyczaj na okres trzech lat, z corocznymi audytami nadzoru przeprowadzanymi przez jednostkę certyfikującą.
Czym różni się ISO 27001 od ISO 27002?
ISO 27001 określa wymagania systemu zarządzania podlegające certyfikacji, natomiast ISO 27002 stanowi zbiór wytycznych i rekomendacji dotyczących wdrażania konkretnych zabezpieczeń.