ISO 27001:2005

14 października 2005r. została opublikowana norma ISO / IEC 27001 (wcześniej znana jako brytyjska norma BS 7799-2; polskie tłumaczenie PN-I-07799-2:2005) jest specyfikacją sytemów zarządzania bezpieczeństwem informacji na zgodność z którą będą wydawne certyfikaty. W dalszym okresie planowane są publikacje kolejnych norm serii ISO / IEC 27000 - słownictwo i terminologia, ISO /IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO / IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO /IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO / IEC 27004 - System Zarządzania Bezpieczeństwem Informacji. Wskaźniki i pomiar oraz ISO / IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.

Zastosowanie wytycznych normy daje możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technicznego jest niemalże koniecznością. Coraz częściej to właśnie informacja jest najcenniejszym środkiem produkcji, bowiem jej odzyskiwanie w razie utraty jest niezmiernie kosztownym i problematycznym procesem, znacznie trudniejszym od odtwarzania jakichkolwiek innych zasobów. Ponadto ujawnienie istotnych informacji może prowadzić do utraty konkurencyjności przez przedsiębiorstwo. Z tego też względu informacja powinna w każdym przedsiębiorstwie podlegać szczególnej ochronie.

Norma ISO/IEC 17799 (a w niedalakiej przyszłości ISO 27002) pozwala określić; wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa informacji oraz wybrać środki, dzięki którym bezpieczeństwo informacji zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa informacji koncentrując się na sferze organizacyjnej oraz kontrolując obszary zwiększonego ryzyka, takie jak:

  • polityka bezpieczeństwa;
  • kontrola dostępu do informacji;
  • zabezpieczenia na poziomie organizacyjnym;
  • klasyfikacja i kontrola zasobów;
  • zarządzanie działaniem urządzeń informatycznych;
  • przestrzeganie obowiązujących procedur i przepisów prawa;
  • pracownicy;
  • zabezpieczenie fizyczne organizacji i otoczenia;
  • zarządzanie ciągłością;
  • opracowywanie i utrzymywanie systemów informatycznych.

Wyróżnia się wiele bardzo różnorodnych metod ustalania wymagań związanych z bezpieczestwem informacji, z których niewątpliwie podstawowe to:

  • znajomość uregulowań prawnych dotyczących wymaganych działań zapewniających bezpieczeństwo informacji;
  • oszacowanie poziomu ryzyka utraty informacji;
  • wypracowanie w przedsiębiorstwie odpowiedniej postawy odnośnie zapewnienia bezpieczeństwa informacji; - wskazanie obszarów, w których zachodzi konieczność poprawy.
Jeśli masz jakieś pytania lub opinie podziel się nimi z nami korzystając z poniższego formularza. Postaramy się odpowiedzieć na wszelkie pytania.

Imię:
Nazwisko:
Stanowisko:
Nazwa firmy:
Nr telefonu:
Adres e-mail:
Czy firma posiada certyfikowany System Zarządzania?
Treść pytania:
Preferowana forma odpowiedzi:
Kod z obrazka: