Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

Nowa norma ISO 27001:2013

Data publikacji: 12-01-2015 Autor: Andrzej Guzik
Cykl PDCA

Drugie wydanie normy ISO 27001:2013 unieważnia i zastępuje starą normę ISO 27001:2005, a równocześnie jest jej techniczną nowelizacją. Zawiera również wymagania dotyczące oceny ryzyka związanego z bezpieczeństwem informacji i postępowania z ryzykiem.

Nowe wydanie normy ISO 27001 zostało opublikowane pod koniec września 2013 roku i określa wymagania dotyczące tworzenia, wdrażania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Okres przejścia na nową wersję normy przewidziany jest na 2 lata od daty jej publikacji. Certyfikowane systemy SZBI, aby utrzymać ważność obecnie obowiązujących certyfikatów, powinny zakończyć proces przejścia do 1 października 2015 r. Można to zrobić podczas audytu certyfikacyjnego lub podczas dodatkowego audytu mającego na celu przeprowadzenie oceny zgodności z wymogami nowej normy.

> STRUKTURA NORMY I WYMAGANIA

Wysokopoziomowa struktura normy jest zgodna z załącznikiem SL dyrektywy ISO/IEC (część 1) i zachowuje zgodność z innymi normami dotyczącymi systemów zarządzania. Umożliwia to łatwiejszą integrację w przypadku wdrożenia dwóch lub więcej norm w organizacji, czyli tzw. zintegrowanego systemu zarządzania (patrz ramka obok).

Norma ISO 27001 wykorzystuje podejście procesowe PDCA (Plan – Do – Check – Act) zgodne z cyklem Deminga i została zaplanowana w taki sposób, aby chronić poufność, integralność i dostępność informacji (schemat). Pod uwagę mogą być wzięte jeszcze inne atrybuty związane z bezpieczeństwem informacji: autentyczność, niezaprzeczalność, niezawodność i rozliczalność.

Główne wymagania systemowe dotyczące ustanowienia, wdrożenia, utrzymania i doskonalenia systemu SZBI przedstawiono w tabeli 1. Na uwagę zasługuje nowe podejście do tzw. udokumentowanej informacji. Udokumentowana informacja to informacja, która powinna być przez organizację utrzymywana i nadzorowana.

Ponadto w normie zrezygnowano z podziału na zapisy i dokumenty oraz z działań zapobiegawczych.

W ISO 27001:2013 zmieniono podejście do oceny ryzyka (dawniej szacowania ryzyka) związanego z bezpieczeństwem informacji i postępowania z ryzykiem. W starej normie posiłkowano się standardem ISO 27005. W nowym wydaniu oparto się na normie ISO 31000 (patrz: tabele 2 i 3).

W normie 27001 zmieniono również Załącznik A do normy, który obecnie zawiera cele stosowania zabezpieczeń oraz zabezpieczenia pogrupowane w: 14 rozdziałów, 35 celów stosowania zabezpieczeń i kategorii bezpieczeństwa i 114 zabezpieczeń (patrz tabela 4). W starszej wersji było to 11 rozdziałów, 39 celów stosowania zabezpieczeń i kategorii bezpieczeństwa oraz 133 zabezpieczenia.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"