Normy dotyczące bezpieczeństwa informacji - przegląd

CONTENT

• Normy dotyczące bezpieczeństwa informacji - lista przeglądowa
• Certyfikacja to przewaga konkurencyjna
• Dziesięć norm ISO dotyczących bezpieczeństwa informacji, z którymi warto się zapoznać
• Inne tematy z rodziny norm ISO 2700x
• DQS - co możemy dla Ciebie zrobić

Normy dotyczące bezpieczeństwa informacji: Rodzina norm ISO 2700X

Poszczególne normy dotyczące bezpieczeństwa informacji z serii ISO 2700x dotyczą różnych zagadnień z dziedziny bezpieczeństwa informacji. Na przykład w normie międzynarodowej określono ISO 27001 System zarządzania bezpieczeństwem informacji (ISMS), ISO 27701 system zarządzania ochroną danych, norma ISO 27017 zawiera wytyczne dotyczące środków bezpieczeństwa informacji dla chmur obliczeniowych, a norma ISO 27005 zawiera wytyczne dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa informacji.

Firmy ze wszystkich branż mogą czerpać korzyści z systematycznego i uporządkowanego podejścia do bezpieczeństwa informacji, jakie oferują te normy. Umożliwia ono ochronę poufnych danych przed utratą i niewłaściwym wykorzystaniem, a także pomaga w wiarygodnym identyfikowaniu i ograniczaniu (potencjalnych) zagrożeń. Podejście to pomaga zapewnić dostępność korporacyjnych systemów informatycznych, przyczyniając się w ten sposób do optymalizacji procesów biznesowych, kosztów IT i procesów oraz minimalizacji ryzyka biznesowego i odpowiedzialności.

Certyfikacja to przewaga konkurencyjna

Certyfikacja na zgodność z ISO 27001, na przykład przez DQS, wymaga pewnych przygotowań i wysiłku. Jednak firma dostarcza udokumentowany dowód na to, że spełnia wymagania dotyczące bezpieczeństwa informacji i wdraża środki ochrony wrażliwych danych firmowych. Stanowi to wyraźną przewagę konkurencyjną.

Dziesięć norm ISO dotyczących bezpieczeństwa informacji, z którymi warto się zapoznać

Poniższa lista zawiera przegląd aktualnego stanu norm ISO 2700x w zakresie bezpieczeństwa informacji. Wszystkie normy są dostępne do nabycia na stronie internetowej ISO.

ISO 27001 - Wymagania dotyczące systemów zarządzania bezpieczeństwem informacji

W czasach, gdy danymi i informacjami handluje się jak rzadkimi towarami, ich ochrona jest niezbędna. Optymalną podstawę dla skutecznego wdrożenia całościowej strategii bezpieczeństwa stanowi dobrze skonstruowany system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO 27001. Jest to uznana na całym świecie norma dotycząca bezpieczeństwa informacji w organizacjach prywatnych, publicznych i non-profit, która obejmuje nie tylko aspekty bezpieczeństwa informatycznego.

System ISMS ISO 27001 określa wymagania, zasady i metody zapewnienia bezpieczeństwa informacji, które wymagają ochrony w organizacjach. Norma ISO dostarcza model do ustanawiania, wdrażania, monitorowania i doskonalenia poziomu ochrony. Celem jest identyfikacja potencjalnych zagrożeń dla firmy, ich analiza oraz umożliwienie ich kontroli poprzez zastosowanie odpowiednich środków. Norma ISO 27001 formułuje wymagania dla takiego systemu zarządzania, które są audytowane w ramach zewnętrznego procesu certyfikacji.

Dzięki tej normie można osiągnąć następujące cele:

• Uczynienie bezpieczeństwa informacji wrażliwych integralną częścią procesów korporacyjnych.
• Prewencyjne zabezpieczanie celów ochrony poufności, dostępności i integralności informacji
• Utrzymanie ciągłości działania poprzez ciągłe doskonalenie poziomu bezpieczeństwa
• Uwrażliwienie pracowników i znaczne zwiększenie świadomości bezpieczeństwa na wszystkich szczeblach firmy
• Budowanie zaufania z zainteresowanymi stronami
• Stworzenie skutecznego procesu zarządzania ryzykiem

ISO 27019 - Środki bezpieczeństwa informacji dla dostaw energii.

Norma ISO 27 019 dotycząca bezpieczeństwa informacji formułuje środki uzupełniające dla sektora przemysłu energetycznego.

Norma ta pomaga zabezpieczyć elektroniczne systemy sterowania procesami technologicznymi stosowane do sterowania i monitorowania produkcji, przesyłu, magazynowania i dystrybucji energii elektrycznej, gazu, oleju i ciepła oraz do sterowania powiązanymi procesami pomocniczymi..

Co można zrobić dzięki tej normie:

• Systematycznie zapewniać cele ochrony: poufność, dostępność, integralność informacji.
• Stale podnosić poziom bezpieczeństwa i odporności na nieuprawniony dostęp.
• Osiągnąć większe bezpieczeństwo działania i pewność prawną, poprawić zgodność z odpowiednimi wymogami zgodności
• Zwiększenie świadomości bezpieczeństwa wśród pracowników i kierownictwa
• Osiągnięcie wysokiego poziomu zaufania i lojalności wśród wszystkich zainteresowanych stron
• Przedstawienie władzom, takim jak Niemiecka Federalna Agencja ds. Sieci (BNetzA), uznanego dowodu skuteczności środków bezpieczeństwa.

ISO 27006 - wymagania dla jednostek certyfikujących

Norma ISO 27006 jest skierowana do jednostek, takich jak DQS, które przeprowadzają certyfikację systemów zarządzania bezpieczeństwem informacji. Norma akredytacyjna ISO 27006 opisuje wymagania, których muszą przestrzegać jednostki certyfikujące podczas oceny systemów zarządzania swoich klientów pod kątem zgodności z normą ISO 27001 w celu uzyskania certyfikatu.

Obejmuje to np. dowód określonych działań audytowych lub specyfikacje dotyczące kwalifikacji audytorów. Procesy akredytacji przedstawione w normie gwarantują, że certyfikaty ISO 27001 wydane przez akredytowane jednostki certyfikujące mają międzynarodową ważność.

Co można osiągnąć dzięki tej normie:

• Jednolite kryteria procedur auditów certyfikacyjnych, nadzoru i ponownej certyfikacji
• Zapewnienie ważności certyfikatów ISO 27001
• Zapewnienie minimalnych wymagań dotyczących nakładów na audyt i kwalifikacji personelu obliczającego i przeprowadzającego procedury certyfikacyjne

ISO 27002 - Wytyczne dotyczące kontroli bezpieczeństwa informacji

System Zarządzania Bezpieczeństwem Informacji (ISMS) zgodny z normą ISO 27001 zawiera normatywny Załącznik A: Cele kontroli referencyjnej i kontrole. Aneks ten zawiera konkretne środki do wdrożenia w ramach systemu zarządzania, odpowiednie dla danej organizacji. ISO 27002 jest wytyczną zawierającą zalecenia dotyczące wdrożenia środków z ISO 27001. 

Wytyczna została kompleksowo zmieniona i zaktualizowana na początku 2022 roku. Nowe wydanie dostarcza menedżerom ds. bezpieczeństwa informacji precyzyjnych wskazówek dotyczących wdrażania, dzięki którym żadne ważne środki służące do przeciwdziałania ryzyku bezpieczeństwa informacji nie zostaną pominięte.

Załącznik ten zawiera specyficzne środki, które należy wdrożyć jako część systemu zarządzania, stosownie do organizacji. ISO 27002 jest przewodnikiem zawierającym zalecenia dotyczące wdrażania środków z ISO 27001.

Można to zrobić za pomocą normy:

• Wsparcie we wdrażaniu ISO 27001
• Wdrażanie zaleceń dotyczących środków z załącznika A do ISO 27001

ISO 27000 - Przegląd i słownictwo dotyczące systemów zarządzania bezpieczeństwem informacji

Norma ISO 27000 zawiera terminy i definicje, które są stosowane w serii norm ISO 2700X. Norma ISO 27000 zawiera przegląd systemów zarządzania bezpieczeństwem informacji oraz serii norm ISO 2700x wraz z ich normami dotyczącymi bezpieczeństwa informacji.

W glosariuszu terminy (techniczne) są zdefiniowane w sposób wyraźny i formalny.

Co można zrobić z tą normą:

• Glosariusz: obejmuje większość terminów technicznych stosowanych w normach ISO2700x z dziedziny bezpieczeństwa informacji.
• Jasność terminologii
• Jasne zrozumienie słownictwa wśród osób oceniających i asesorów ("wspólny język")
• Przegląd systemów zarządzania bezpieczeństwem informacji: wprowadzenie do bezpieczeństwa informacji, zarządzanie ryzykiem i bezpieczeństwem oraz systemy zarządzania

ISO 27701 - Wytyczne dotyczące zarządzania ochroną danych

Norma dotycząca bezpieczeństwa informacji w szczególności w odniesieniu do prywatności danych ISO 27701 określa system zarządzania ochroną danych oparty na normach ISO 27001, ISO 27002 (kontrole bezpieczeństwa informacji) i ISO 29100 (ramy ochrony danych), który ma na celu odpowiednie postępowanie zarówno w przypadku przetwarzania danych osobowych, jak i bezpieczeństwa informacji. Dotyczy to zarówno administratorów danych, jak i podmiotów przetwarzających dane osobowe.

Jak możesz odnieść sukces dzięki tej normie:

• Lepsze zarządzanie danymi osobowymi i bezpieczeństwem informacji
• Łatwiejsze stosowanie wspólnych zasad zarządzania ryzykiem informacyjnym w odniesieniu do danych osobowych
• Ujednolicenie i rozszerzenie kontroli w ramach normy ISO 27001 oraz powiązanej normy ISO 27002

ISO 27017 - Przewodnik po środkach bezpieczeństwa informacji w usługach w chmurze

Norma ISO 27017 zawiera wytyczne dotyczące środków bezpieczeństwa informacji w chmurach obliczeniowych w ramach norm dotyczących bezpieczeństwa informacji.

Zaleca, wspiera i zapewnia dodatkowe środki do wdrażania kontroli bezpieczeństwa informacji w chmurze.

Co można osiągnąć dzięki tej normie:

• Zrozumienie aspektów bezpieczeństwa informacji w chmurze obliczeniowej.
• Projektowanie i wdrażanie mechanizmów kontroli bezpieczeństwa informacji specyficznych dla chmury
• Kontrola nad opcjami wyboru, wdrażania i zarządzania bezpieczeństwem informacji w chmurze obliczeniowej

ISO 27018 - Wytyczne dotyczące ochrony danych w usługach w chmurze.

Norma ISO 27018 zawiera wytyczne zapewniające, że dostawcy usług w chmurze oferują odpowiednie środki kontroli bezpieczeństwa informacji w celu ochrony prywatności klientów poprzez zabezpieczenie powierzonych im danych osobowych.

Po tej normie obowiązuje norma ISO 27017 (Środki bezpieczeństwa informacji w usługach w chmurze), która obejmuje inne aspekty bezpieczeństwa informacji w chmurze niż tylko ochrona danych.

Oto, co można zrobić z tą normą:

• Wybrać mechanizmy kontroli ochrony PII w ramach wdrażania systemu zarządzania bezpieczeństwem informacji w chmurze obliczeniowej opartego na ISO 27001.
• Wdrożyć powszechnie akceptowane mechanizmy kontroli ochrony PII.
• Pogłębić wiedzę, ponieważ norma opiera się na ISO 27002 i rozszerza jej ogólne wskazówki w niektórych obszarach
• Powiązanie zasad ochrony prywatności OECD zawartych w kilku ustawach i rozporządzeniach dotyczących ochrony danych

ISO 27005 - Wytyczne dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa informacji.

Norma ISO 27005 zawiera wytyczne dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa informacji i wspiera ogólne koncepcje w tym zakresie określone w normie ISO 27001.

Norma ISO 27005 ma również na celu wspieranie wdrażania bezpieczeństwa informacji w oparciu o koncepcję zarządzania ryzykiem.

Można to zrobić za pomocą normy:

• Wdrażanie bezpieczeństwa informacji w oparciu o koncepcję zarządzania ryzykiem.
• Definicja kontekstu zarządzania ryzykiem
• Ilościowa lub jakościowa ocena (tj. identyfikacja, analiza i ocena) istotnych rodzajów ryzyka związanego z informacjami.
• Ciągłe monitorowanie i przegląd ryzyka, sposobów postępowania z ryzykiem, wymagań i kryteriów
• Odpowiednie postępowanie z ryzykiem
• Bieżąca komunikacja z wszystkimi zainteresowanymi stronami.

ISO 27007 - Przewodnik do audytowania ISMS

ISO 27007 jest przewodnikiem do przeprowadzania audytów i jest przeznaczony dla audytorów wewnętrznych i zewnętrznych, którzy oceniają ISMS zgodnie z ISO/IEC 27001.

Przewodnik jest w znacznym stopniu oparty na Przewodniku do audytowania systemów zarządzania (ISO 19011) i zawiera dodatkowe wytyczne dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS).

Oto jak można odnieść sukces z tą normą:

• Wytyczne specjalnie dla audytów ISMS ISO 27001
• Wskazówki dotyczące planowania i przeprowadzania audytów zintegrowane z normą ISO 19011
• Ważne informacje na temat kompetencji audytorów ISMS
• Zrozumienie i przeprowadzanie audytów ISMS

DQS - co możemy dla Państwa zrobić

DQS jest wiodącym specjalistą w certyfikacji systemów i procesów zarządzania od 1985 roku. Od tego czasu historia DQS jest ściśle związana z historią ISO 9001. W ciągu roku przeprowadzamy około 30 000 auditów dla naszych klientów, wykorzystując nasze ogólnoświatowe know-how i szerokie zrozumienie standardów. Dzięki temu mogą Państwo zobaczyć, jakie są Państwa możliwości.

Zaufanie i doświadczenie

Nasze teksty i białe księgi są pisane wyłącznie przez naszych ekspertów ds. norm lub wieloletnich audytorów. Podobnie jest z przeglądem standardów bezpieczeństwa informacji. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autorów, skontaktuj się z nami.

Normy bezpieczeństwa informacji: Inne tematy z rodziny norm ISO 2700X

ISO 27003 - Przewodnik dotyczący opracowywania i wdrażania ISMS

ISO/IEC 27003:2017

Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wytyczne.

ISO 27004 - Wytyczne dotyczące metod pomiaru zarządzania bezpieczeństwem informacji

ISO/IEC 27004:2016

Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie bezpieczeństwem informacji - Monitorowanie, pomiar, analiza i ocena.

ISO 27008 - Wytyczne dotyczące oceny środków bezpieczeństwa informacji

ISO/IEC TS 27008:2019

Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące oceny środków kontroli bezpieczeństwa informacji

ISO 27009 - Przewodnik dotyczący zastosowania systemu zarządzania informacją w konkretnym sektorze

ISO/IEC 27009:2020

Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności - Specyficzne dla sektora zastosowanie normy ISO/IEC 27001 - Wymagania

ISO 27010 - Wytyczne dotyczące zarządzania bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej

ISO/IEC 27010:2015

Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej

ISO 27011 - Wytyczne dotyczące zarządzania bezpieczeństwem informacji w sektorze telekomunikacyjnym

ISO/IEC 27011:2016

Technika informatyczna - Techniki bezpieczeństwa - Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 dla organizacji telekomunikacyjnych

ISO 27013 - Wytyczne dotyczące zintegrowanego wdrażania ISMS i zarządzania usługami informatycznymi

ISO/IEC 27013:2021

Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności - Wytyczne dotyczące zintegrowanego wdrażania norm ISO/IEC 27001 i ISO/IEC 20000-1

ISO 27014 - "Zarządzanie" bezpieczeństwem informacji

ISO/IEC DIS 27014:2020

Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności - Zarządzanie bezpieczeństwem informacji

ISO 27016 - Ekonomika zarządzania bezpieczeństwem informacji

ISO/IEC TR 27016:2014

Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie bezpieczeństwem informacji - Ekonomika organizacji

ISO 27021 - Wymagania dotyczące kompetencji specjalistów ISMS

ISO/IEC 27021:2017/AMD 1:2021

echniki - Wymagania dotyczące kompetencji specjalistów w zakresie systemów zarządzania bezpieczeństwem informacji - Zmiana 1: Dodanie klauzul lub podklauzul ISO/IEC 27001:2013 do wymagań dotyczących kompetencji

ISO 27031 - Wytyczne dotyczące ciągłości działania

ISO/IEC 27031:2011

Technologie informacyjne - Techniki bezpieczeństwa - Wytyczne dotyczące gotowości technologii informacyjnych i komunikacyjnych do zapewnienia ciągłości działania

WSKAZÓWKA: Przeczytaj nasz wpis na blogu dotyczący zarządzania ciągłością działania, aby dowiedzieć się, co norma ISO 22301 zaleca w celu zapewnienia ciągłości działania firmy w wyjątkowych sytuacjach.

ISO 27032 - Przewodnik po bezpieczeństwie cybernetycznym

ISO/IEC 27032:2012

Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące bezpieczeństwa cybernetycznego

ISO 27033 - Wytyczne dotyczące bezpieczeństwa sieci

ISO/IEC 27033

Technika informatyczna - Techniki bezpieczeństwa - Bezpieczeństwo sieci
Część 1: Część 1: Przegląd i koncepcje, Część 2: Wytyczne dotyczące projektowania i wdrażania bezpieczeństwa sieci, Część 3: Scenariusze sieci odniesienia - zagrożenia, techniki projektowania i zagadnienia kontroli, Część 4: Zabezpieczanie komunikacji między sieciami przy użyciu bramek bezpieczeństwa, Część 5: Zabezpieczanie komunikacji między sieciami przy użyciu wirtualnych sieci prywatnych (VPN), Część 6: Zabezpieczanie bezprzewodowego dostępu do sieci IP

ISO 27034 - Wytyczne dotyczące bezpieczeństwa aplikacji

ISO/IEC 27034

Technika informatyczna - Techniki bezpieczeństwa - Bezpieczeństwo aplikacji
Część 1: Część 1: Przegląd i koncepcje, Część 2: Ramy normatywne organizacji, Część 3: Proces zarządzania bezpieczeństwem aplikacji, Część 4: Walidacja i weryfikacja, Część 5: Struktura danych protokołów i kontroli bezpieczeństwa aplikacji, Część 6: Badania odlewnicze, Część 7: Ramy predykcji pewności

ISO 27035 - Wytyczne dotyczące zarządzania incydentami związanymi z bezpieczeństwem informacji

ISO/IEC 27035

Technologie informacyjne - Praktyki bezpieczeństwa IT - Zarządzanie incydentami bezpieczeństwa informacji
Część 1: Część 1: Podstawy zarządzania incydentami, Część 2: Wytyczne dotyczące planowania i przygotowania reakcji na incydenty, Część 3: Wytyczne dotyczące reakcji na incydenty związane z technologiami informacyjno-komunikacyjnymi (projekt)

ISO 27036 - Wytyczne dotyczące relacji z dostawcami

ISO/IEC 27036

Technika informatyczna - Techniki bezpieczeństwa - Bezpieczeństwo informacji w relacjach z dostawcami
Część 1: Część 1: Przegląd i koncepcje, Część 2: Wymagania, Część 3: Wytyczne dotyczące bezpieczeństwa łańcucha dostaw technologii informacyjnych i komunikacyjnych, Część 4: Wytyczne dotyczące bezpieczeństwa usług w chmurze

ISO 27037 - Wytyczne dotyczące postępowania z dowodami cyfrowymi.

ISO/IEC 27037:2012

Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące identyfikacji, gromadzenia, pozyskiwania i zabezpieczania dowodów cyfrowych

ISO 27038 - Specyfikacja dotycząca redakcji cyfrowej

ISO/IEC 27038:2014

Technika informatyczna - Techniki bezpieczeństwa - Specyfikacja dla redakcji cyfrowej

ISO 27039 - Wytyczne dotyczące systemów wykrywania włamań (IDPS)

ISO/IEC 27039:2015

Technika informatyczna - Techniki bezpieczeństwa - Wybór, wdrażanie i eksploatacja systemów wykrywania i zapobiegania włamaniom (IDPS)

ISO 27040 - Wytyczne dotyczące bezpieczeństwa pamięci masowych

ISO/IEC 27040:2015

Technika informatyczna - Techniki bezpieczeństwa - Bezpieczeństwo pamięci masowej

ISO 27041 - Wytyczne dotyczące metod badania incydentów

ISO/IEC 27041:2015

Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące zapewniania przydatności i adekwatności metod badania incydentów

ISO 27042 - Wytyczne dotyczące analizy i interpretacji dowodów cyfrowych.

ISO/IEC 27042:2015

Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące analizy i interpretacji dowodów cyfrowych

ISO 27043 - Wytyczne dotyczące procesów badania incydentów.

ISO/IEC 27043:2015

Technika informatyczna - Techniki bezpieczeństwa - Zasady i procesy badania incydentów

ISO 27050 - Wytyczne dotyczące wykrywania elektronicznego

ISO/IEC 27050

Technika informatyczna - Elektroniczne odkrywanie
Część 1: Część 1: Przegląd i koncepcje, Część 2: Wytyczne w zakresie zarządzania i kierowania elektronicznym odkrywaniem, Część 3: Kodeks postępowania w zakresie elektronicznego odkrywania

ISO 27102 - Wytyczne dotyczące ubezpieczeń cybernetycznych

ISO/IEC 27102:2019

Zarządzanie bezpieczeństwem informacji - Wytyczne dotyczące cyberubezpieczeń

ISO 27103 - Przewodnik po bezpieczeństwie cybernetycznym i normach ISO/IEC

ISO/IEC TR 27103:2018

Technika informatyczna - Techniki bezpieczeństwa - Bezpieczeństwo cybernetyczne a normy ISO i IEC

ISO 27550 - Inżynieria prywatności dla procesów cyklu życia systemu

ISO/IEC TR 27550:2019-09

Technika informatyczna - Techniki bezpieczeństwa - Inżynieria prywatności dla procesów cyklu życia systemu

ISO 27799 - Zarządzanie bezpieczeństwem informacji w sektorze opieki zdrowotnej

ISO 27799:2016

Informatyka w ochronie zdrowia - Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002