Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Nowa norma ISO 27001:2013

Data publikacji: 12-01-2015 Autor: Andrzej Guzik
Cykl PDCA

Drugie wydanie normy ISO 27001:2013 unieważnia i zastępuje starą normę ISO 27001:2005, a równocześnie jest jej techniczną nowelizacją. Zawiera również wymagania dotyczące oceny ryzyka związanego z bezpieczeństwem informacji i postępowania z ryzykiem.

Nowe wydanie normy ISO 27001 zostało opublikowane pod koniec września 2013 roku i określa wymagania dotyczące tworzenia, wdrażania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Okres przejścia na nową wersję normy przewidziany jest na 2 lata od daty jej publikacji. Certyfikowane systemy SZBI, aby utrzymać ważność obecnie obowiązujących certyfikatów, powinny zakończyć proces przejścia do 1 października 2015 r. Można to zrobić podczas audytu certyfikacyjnego lub podczas dodatkowego audytu mającego na celu przeprowadzenie oceny zgodności z wymogami nowej normy.

> STRUKTURA NORMY I WYMAGANIA

Wysokopoziomowa struktura normy jest zgodna z załącznikiem SL dyrektywy ISO/IEC (część 1) i zachowuje zgodność z innymi normami dotyczącymi systemów zarządzania. Umożliwia to łatwiejszą integrację w przypadku wdrożenia dwóch lub więcej norm w organizacji, czyli tzw. zintegrowanego systemu zarządzania (patrz ramka obok).

Norma ISO 27001 wykorzystuje podejście procesowe PDCA (Plan – Do – Check – Act) zgodne z cyklem Deminga i została zaplanowana w taki sposób, aby chronić poufność, integralność i dostępność informacji (schemat). Pod uwagę mogą być wzięte jeszcze inne atrybuty związane z bezpieczeństwem informacji: autentyczność, niezaprzeczalność, niezawodność i rozliczalność.

Główne wymagania systemowe dotyczące ustanowienia, wdrożenia, utrzymania i doskonalenia systemu SZBI przedstawiono w tabeli 1. Na uwagę zasługuje nowe podejście do tzw. udokumentowanej informacji. Udokumentowana informacja to informacja, która powinna być przez organizację utrzymywana i nadzorowana.

Ponadto w normie zrezygnowano z podziału na zapisy i dokumenty oraz z działań zapobiegawczych.

W ISO 27001:2013 zmieniono podejście do oceny ryzyka (dawniej szacowania ryzyka) związanego z bezpieczeństwem informacji i postępowania z ryzykiem. W starej normie posiłkowano się standardem ISO 27005. W nowym wydaniu oparto się na normie ISO 31000 (patrz: tabele 2 i 3).

W normie 27001 zmieniono również Załącznik A do normy, który obecnie zawiera cele stosowania zabezpieczeń oraz zabezpieczenia pogrupowane w: 14 rozdziałów, 35 celów stosowania zabezpieczeń i kategorii bezpieczeństwa i 114 zabezpieczeń (patrz tabela 4). W starszej wersji było to 11 rozdziałów, 39 celów stosowania zabezpieczeń i kategorii bezpieczeństwa oraz 133 zabezpieczenia.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"