ISO/IEC 27001 - E-System Zarządzania Bezpieczeństwem Informacji

PN-ISO/IEC 27001:2014 Technika informatyczna – Techniki bezpieczeństwa – Systemy Zarządzania Bezpieczeństwem Informacji – Wymagania
PN-ISO/IEC 27002:2014 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji (norma dostarcza wskazówek do wdrożenia, które mogą być wykorzystane podczas projektowania zabezpieczeń)
PN-I-13335-1:1999 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych – Pojęcia i modele bezpieczeństwa systemów informatycznych

Na przestrzeni ostatnich lat wiele organizacji wdrażało i doskonaliło własne, autorskie metody zabezpieczania informacji.
Pojawiły się wtedy normy, zalecenia, technologie i tzw. „dobre praktyki” dotyczące zabezpieczania informacji.
Różnorodność opracowanych metod oraz systemów chroniących informacje stała się barierą dla organizacji (niewspółmierność i autonomiczność poszczególnych metod zabezpieczeń).
Doprowadziło to do podjęcia decyzji o standaryzacji procesów związanych z bezpieczeństwem informacji (zadania podjęła się Międzynarodowa Organizacja Normalizacyjna – ISO International Organization for Standardization)

• W 2000 r. zostaje wydana pierwsza wersja normy ISO/IEC 17799, która była kopią brytyjskiego standardu BS 7799-1 z 1995 r.
  

• W 2005 r. norma ISO/IEC 17799 została zaktualizowana a następnie przemianowana na normę ISO/IEC 27002
  

• Drugi standard stanowi ISO/IEC 27001, która pochodzi od brytyjskiego dokumentu BS 7799-2 z 1999 r. i określa wymagania związane z ustanowieniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – najnowsze wydanie polskiego tłumaczenia ISO/IEC 27001:2014
  

• Owocem prac związanych z ujednolicaniem standardów w zakresie zarządzania bezpieczeństwem informacji jest grupa norm ISO 27000 (ogromne zainteresowanie tematyką SZBI spowodował że komitet normalizacyjny zarezerwował aż 60 numerów dla tej części standardów)
  

Podstawowe pojęcia:

• system zarządzania bezpieczeństwem informacji -  część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji
  

• aktywa - wszystko, co ma wartość dla organizacji
  

• bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność
  

• poufność - właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom
  

• integralność - właściwość polegająca na zapewnieniu dokładności i kompletności aktywów
  

• dostępność - właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu
  

• zdarzenie związane z bezpieczeństwem informacji - zdarzenie związane z bezpieczeństwem informacji jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem
  

• incydent związany z bezpieczeństwem informacji - incydent związany z bezpieczeństwem informacji jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji
  

• zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka
  

• szacowanie ryzyka - całościowy proces analizy i oceny ryzyka
  

• analiza ryzyka - systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka
  

• ocena ryzyka - proces porównywania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka
  

• postępowanie z ryzykiem - proces wyboru i wdrażania środków modyfikujących ryzyko
  

• akceptowanie ryzyka - decyzja, aby zaakceptować ryzyko
  

• ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem
  

• deklaracja stosowania - dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w Systemie Zarządzania Bezpieczeństwe Informacji danej organizacji