Blog prawniczy

System bezpieczeństwa informacji to zorganizowany zbiór polityk, procedur, technicznych i fizycznych środków zapewniających ochronę informacji przed nieautoryzowanym dostępem, użyciem, ujawnieniem, zakłóceniem, modyfikacją lub zniszczeniem. System ten obejmuje zarządzanie ryzykiem i koncentruje się na ochronie integralności, poufności oraz dostępności danych. Jednym z ważniejszych dokumentów jakie należy wziąć pod uwagę tworząc taki system są normy ISO z rodziny ISO/IEC 27000. Z tego artykułu dowiesz się czym są normy ISO oraz jakie konkretnie normy powinieneś wziąć pod uwagę w kontekście praktycznego wdrożenia systemu bezpieczeństwa informacji w Twojej organizacji.

Normy ISO – czym są?

Normy ISO to międzynarodowe standardy opracowane przez Międzynarodową Organizację Normalizacyjną (ISO). Określają one specyfikacje i kryteria dotyczące produktów, usług i systemów, które zapewniają jakość, bezpieczeństwo i efektywność. Są one wynikiem globalnego konsensusu wśród ekspertów w swoich dziedzinach i mają na celu wspieranie innowacji oraz zapewnienie porządku i spójności na światowych rynkach.

Normy ISO są nie tylko technicznymi wytycznymi, ale również narzędziem do zarządzania jakością i ryzykiem w różnorodnych branżach, od produkcji przemysłowej po usługi zdrowotne. Zawierają one szczegółowe procedury, które organizacje mogą stosować, aby zapewnić spójność i wysoką jakość swoich produktów i usług. Dzięki temu organizacje mogą lepiej rywalizować na globalnym rynku, oferując produkty zgodne z międzynarodowymi standardami.

Działanie norm ISO obejmuje również promowanie zrównoważonego rozwoju. Przykładowo, ISO opracowało standardy dotyczące zarządzania energią, ochrony środowiska, a nawet społecznej odpowiedzialności biznesu, co przyczynia się do lepszego zarządzania zasobami i minimalizacji negatywnego wpływu na środowisko.

W procesie tworzenia norm ISO uczestniczą eksperci z różnych krajów, co zapewnia, że standardy te odzwierciedlają różnorodne doświadczenia, potrzeby oraz warunki technologiczne i ekonomiczne na całym świecie. To międzynarodowe porozumienie pozwala na tworzenie norm, które są szeroko akceptowane i stosowane globalnie, ułatwiając handel międzynarodowy i współpracę transgraniczną.

Sprawdź również: Czym jest bezpieczeństwo informacji?

Normy ISO dotyczące bezpieczeństwa informacji

W przypadku bezpieczeństwa informacji jest kilka norm, które w sposób szczególny należy wziąć pod uwagę. Są to:

1. norma ISO/EIC 27000,
2. norma ISO/EIC 27001 – system zarządzania bezpieczeństwem informacji,
3. norma ISO/EIC 27002 – bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności,
4. norma ISO/EIC 27005 – zarządzanie ryzykiem bezpieczeństwa informacji,
5. norma ISO/EIC 27701 – system zarządzania ochroną prywatności,
6. norma ISO/EIC 27017 – bezpieczeństwo usług w chmurze,
7. norma ISO/EIC 27018 – ochrona danych osobowych w chmurze,
8. norma ISO/EIC 22301 – zarządzanie ciągłością działania

ISO/EIC 27000 – norma wprowadzająca

W normie tej zamieszczono przegląd i słownictwo z zakresu systemów zarządzania bezpieczeństwem informacji. Norma ta odwołuje się do rodziny norm dotyczących systemów zarządzania bezpieczeństwem informacji podając terminy i definicje z tego zakresu

ISO/IEC 27001 – System zarządzania bezpieczeństwem informacji (SZBI)

Norma definiuje wymagania dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacjach. Dotyczy aspektów takich jak poufność, integralność i dostępność danych. Dotyczy organizacji każdej wielkości, niezależnie od sektora działalności, w tym instytucji publicznych i prywatnych.

ISO/EIC 27002 – bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności

Norma ISO 27002 to zaktualizowany standard bezpieczeństwa informacji, który wprowadza szereg zmian odzwierciedlających nowoczesne podejście do cyberbezpieczeństwa i ochrony prywatności. Wprowadza metody zabezpieczeń, takie jak bezpieczeństwo informacji w chmurze czy zapobieganie wyciekom danych. Skupia się na czterech głównych obszarach kontroli: organizacyjnych, ludzkich, fizycznych i technologicznych, co ma na celu lepsze zrozumienie i efektywniejszą implementację zabezpieczeń.

ISO/IEC 27005 – Zarządzanie ryzykiem bezpieczeństwa informacji

Norma skupia się na zarządzaniu ryzykiem związanym z bezpieczeństwem informacji, w tym na identyfikacji, ocenie i zarządzaniu zagrożeniami, które mogą mieć wpływ na bezpieczeństwo danych. Przeznaczona jest dla organizacji, które wdrażają zarządzanie bezpieczeństwem informacji na podstawie normy ISO/IEC 27001.

ISO/IEC 27701:2019 – System zarządzania ochroną prywatności (PIMS)

Norma stanowi rozszerzenie ISO/IEC 27001 oraz ISO/IEC 27002 w zakresie zarządzania ochroną danych osobowych. Obejmuje wymagania dotyczące przetwarzania danych osobowych zgodnie z RODO.

ISO/IEC 27017 – Bezpieczeństwo w usługach w chmurze

Norma obejmuje wytyczne dotyczące bezpieczeństwa w kontekście korzystania z usług chmurowych, zarówno dla dostawców, jak i użytkowników. Skupia się na ochronie danych w środowisku chmurowym, kontroli dostępu oraz monitorowaniu. Stosowana jest przez organizacje korzystające z rozwiązań chmurowych, które muszą zapewnić zgodność z normami bezpieczeństwa dla danych przetwarzanych w chmurze.

ISO/IEC 27018 – Ochrona danych osobowych w chmurze

Norma ta skupia się na ochronie danych osobowych w usługach przetwarzania w chmurze. Obejmuje wytyczne dotyczące bezpieczeństwa i ochrony danych osobowych, które mogą być przetwarzane przez dostawców usług chmurowych. Przeznaczona jest dla dostawców i użytkowników usług chmurowych. W przypadku korzystania z chmury należy zapewnić, że dostawcy usług przestrzegają wytycznych tej normy.

ISO/IEC 22301 – Zarządzanie ciągłością działania

Norma definiuje wymagania dotyczące zarządzania ciągłością działania w celu ochrony przed przerwami w funkcjonowaniu organizacji, takimi jak incydenty związane z cyberbezpieczeństwem. Ma zastosowanie do organizacji, które powinny zapewnić nieprzerwane działanie swoich systemów, które zarządzają krytyczną infrastrukturą i danymi.

Podsumowanie

Normy ISO z rodziny 27000 stanowią fundamentalny element w tworzeniu skutecznego systemu bezpieczeństwa informacji w organizacjach różnej wielkości i z różnych sektorów. Przedstawione w artykule normy obejmują szerokie spektrum zagadnień, od podstawowych definicji i wymagań systemowych, przez praktyczne aspekty bezpieczeństwa i zarządzania ryzykiem, aż po specjalistyczne obszary takie jak ochrona danych w chmurze czy zarządzanie ciągłością działania.

Kluczowe normy omówione w artykule to:
– ISO/IEC 27000 (wprowadzenie i słownictwo)
– ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji)
– ISO/IEC 27002 (praktyczne zasady bezpieczeństwa)
– ISO/IEC 27005 (zarządzanie ryzykiem)
– ISO/IEC 27701 (system zarządzania ochroną prywatności)
– ISO/IEC 27017 i 27018 (bezpieczeństwo w chmurze)
– ISO/IEC 22301 (zarządzanie ciągłością działania)

Wdrożenie tych norm pozwala organizacjom na stworzenie kompleksowego i efektywnego systemu ochrony informacji, dostosowanego do współczesnych wyzwań cyfrowych. Normy te nie tylko zapewniają solidne ramy dla zabezpieczenia danych, ale również wspierają zgodność z obowiązującymi regulacjami prawnymi i najlepszymi praktykami branżowymi.

Zrozumienie i implementacja opisanych norm ISO jest kluczowym krokiem w kierunku zapewnienia bezpieczeństwa informacji w erze cyfrowej, gdzie ochrona danych staje się coraz bardziej krytycznym aspektem działalności każdej organizacji.