Norma ISO/IEC 27001:2013 (wydanie w języku polskim PN-ISO/IEC 27001:2014-12) to najnowszy zbiór wymagań do skutecznego wdrożenia systemu zarządzania bezpieczeństwem informacji. Na świecie została ona wprowadzona po raz pierwszy w 2005 roku na podstawie brytyjskiego standardu BS 7799-2, natomiast w Polsce pierwsze wydanie miało miejsce w roku 2007, zastępując normę PN-I-07799-2:2005.
Wdrażanie sytemu zarządzania bezpieczeństwem informacji wg ISO 27001 prowadzone jest na podstawie wymagań opisanych w 11 obszarach związanych z bezpieczeństwem informacji w każdym przedsiębiorstwie, a mianowicie: polityka bezpieczeństwa,organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, zarządzanie ciągłością działania, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami dotyczącymi bezpieczeństwa informacji oraz zgodność z wymaganiami prawnymi.
Norma PN-ISO/IEC 27001 stosuje, podobnie jak w ISO 9001, model PDCA „Planuj – Wykonuj – Sprawdzaj – Działaj”, który jest stosowany do całej struktury procesów SZBI. Proces wdrażania wymagań ISO 27001 został zdefiniowany jako:
Planuj – ustanowienie polityki bezpieczeństwa informacji, wyznaczenie celów, zaplanowanie procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia systemu zarządzania tak, aby uzyskać wyniki zgodne z zaplanowanymi politykami i celami organizacji.
Wykonuj – implementacja polityki SZBI, zabezpieczeń, procesów i procedur.
Sprawdzaj – monitorowanie i przegląd SZBI czyli pomiar skuteczności procesów w relacji do polityki SZBI, celów oraz dostarczanie raportów kierownictwu do przeglądu.
Działaj – utrzymanie i doskonalenie SZBI – działania korygujące i zapobiegawcze na podstawie wyników auditów wewnętrznych i przeglądu kierownictwa lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.
PN-ISO/IEC 27001 zawiera normatywny załącznik A opisujący zabezpieczenia, które należy stosować w celu ograniczenia ryzyk. Zabezpieczenia zawarte w załączniku A są zgodne z wymienionymi w ISO/IEC 27002.
W ramach wdrażania systemu zarządzania bezpieczeństwem informacji wg ISO 27001:2013 oferujemy Państwu:
– wstępną weryfikację firmy pod kątem dostosowania do wymagań normy ISO 27001:2013
– szkolenia wstępne dla kadry kierowniczej z zakresu normy ISO 27001:2013
– konsultacje obejmujące opracowywanie niezbędnej dokumentacji- konsultacje niezbędne do prawidłowego zidentyfikowania zasobów informacyjnych, oceny ryzyka i wyboru zabezpieczeń
– szkolenia auditorów wewnętrznych wg ISO 27001 : 2013
– pomoc przy organizacji auditu certyfikującego- przeprowadzenie pierwszego auditu wewnętrznego wg ISO 27001 : 2013
– pomoc przy realizacji działań poauditowych.