ISO/IEC 27000 - seria norm Przekierowano ze strony: ISO27k ang. ISO/IEC 27000 - series, ISMS Family of Standards, ISO27k

ISO/IEC 27000
Seria norm
Zarządzanie bezpieczeństwem
Logo ISO/IEC
WłaścicielISO i IEC
RozpowszechnianieISO i IEC
Podstawowy schemat
ISO/IEC 27000 - seria norm - rodzina norm, które zapewniają kompleksowe podejście do bezpieczeństwa informacji. Stosuje się je w odniesieniu do Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) - części systemu zarządzania organizacją (przedsiębiorstwem), opartej na podejściu procesowym wynikającym z ryzyka biznesowego, odnoszącej się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Zapisy tych norm dotyczą zarówno informacji papierowej, informacji elektronicznej, jak i wiedzy pracowników.

Spis treści

Pochodzenie serii ISO/IEC 27000



  • ISO/IEC 27000 ang.: Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary - Technika informatyczne - Techniki bezpieczeństwa - System zarządzania bezpieczeństwem informacji - Informacje ogólne i słownik pojęć. Norma zawiera pojęcia, podstawowe zasady i terminologię dotyczące certyfikacji systemów zarządzania bezpieczeństwem informacji według ISO/IEC 27001.
  • ISO/IEC 27002 ang.: Information technology -- Security techniques -- Code of practice for information security management - Technika informatyczna -- Praktyczne zasady zarządzania bezpieczeństwem informacji.
|}

System Zarządzania Bezpieczeństwem Informacji

!Osobny artykuł System Zarządzania Bezpieczeństwem Informacji

Informacja to dane przetworzone (poukładane, przefiltrowane, pogrupowane itd.) w taki sposób, że na ich podstawie można wyciągać wnioski, podejmować decyzje biznesowe. Informacja jest składnikiem aktywów (wartości), które, podobnie jak inne ważne aktywa biznesowe, ma zasadnicze znaczenie dla organizacji, przedsiębiorstw, a tym samym musi być odpowiednio zabezpieczona. Informacja może istnieć w wielu postaciach. Może być wydrukowana lub zapisana na papierze, przechowywana w formie elektronicznej, przesyłana pocztą lub za pomocą środków elektronicznych, pokazana na filmach, zdjęciach, albo przekazywana słownie w rozmowie. Niezależnie od formy informacji oraz sposobów za pomocą, których jest ona przetwarzana, przesyłana, lub przechowywana, powinna być zawsze odpowiednio zabezpieczona.

Bezpieczeństwo informacji jest to ochrona informacji przed szeroką gamą zagrożeń w celu zapewnienia ciągłości biznesu, minimalizowania ryzyka biznesowego i maksymalizacji zwrotu z inwestycji, oraz możliwości biznesowych. Bezpieczeństwo informacji jest realizowane poprzez wdrażanie odpowiedniego systemu zabezpieczeń, w tym polityki, procesów, procedur, struktury organizacyjnej, funkcji oprogramowania i sprzętu. Zabezpieczenia te muszą zostać ustanowione, wdrożone, monitorowane, sprawdzone i udoskonalone, w razie potrzeby, w celu zapewnienia, że bezpieczeństwo i cele biznesowe organizacji są spełnione. Powinno to, co jest niezwykle istotne, odbywać się w powiązaniu z innymi procesami zarządzania przedsiębiorstwem. W praktyce bezpieczna informacja oznacza, że muszą być spełnione trzy zasadnicze atrybuty ochrony:
  • Poufność - czyli zapewnienie, że informacje są dostępne tylko dla osób uprawnionych do ich dostępu,
  • Integralność – czyli zagwarantowanie dokładności i kompletności informacji, oraz metod ich przetwarzania,
  • Dostępność – czyli zapewnienie upoważnionym użytkownikom dostępu do informacji l związanych z nimi zasobów, zgodnie z określonymi potrzebami.


Informacje będące w posiadaniu organizacji mają swoją realną wartość i mogą być podatne na zagrożenia takie, jak np.: kradzież, zniszczenie czy zafałszowanie. Wraz z rozwojem informatyki i internetu pojawiły się takie nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na utratę konkurencyjności, reputacji, oraz duże straty finansowe. Coraz częściej możemy usłyszeć o incydentach związanych z naruszeniem bezpieczeństwa informacji. W wielu instytucjach można zaobserwować wiele zdarzeń, które w skutek braku świadomości pracowników mogą doprowadzić do przekłamania, ujawnienia bądź utraty istotnych informacji. Przykładem tego są źle przetworzone lub obrobione dane(np. księgowe, finansowe, czy projektowe) zagubienia nośników z danymi (laptopy pendrive', płyty CD, karty pamięci flesh), karteczki z hasłami przyklejone do monitora, ekrany monitorów zwrócone w stronę Klientów, dokumenty leżące na biurku, które mogą zostać zabrane przez osobę niepowołaną, dokumenty zawierające istotne informacje wyrzucone na śmietnik itp.

Ryzyko utraty informacji rośnie wraz ze zwiększeniem ilości przetwarzanych informacji i stosowaniem coraz bardziej skomplikowanych technologii. Często w trakcie projektowania systemów informatycznych nie uwzględnia się wymagań bezpieczeństwa, jak również oprogramowanie nie jest dostatecznie sprawdzone w trakcie testów, co może powodować, że jest podatne na różnego rodzaju zagrożenia, jak np. ujawnienie przetwarzanych informacji, czy możliwość podszycia się pod innego użytkownika.

Dla każdego rodzaju organizacji można zidentyfikować kilka lub kilkanaście przepisów prawnych, które zawierają w sobie wymagania związane z bezpieczeństwa informacji np.:
  • Ustawa o ochronie danych osobowych
  • Ustawa o zwalczaniu nieuczciwej konkurencji
  • Ustawa o ochronie informacji niejawnych
  • Ustawa o dostępie do informacji publicznej
  • Ustawa o prawie autorskim i prawach pokrewnych,
określających obowiązki i kary, które grożą organizacji nie przestrzegającej przepisów.

W Polsce istnieje ponad dwieście aktów prawnych, które dotyczą ochrony informacji. Dla wielu grup zawodowych istnieją wymagania dotyczące "tajemnicy zawodowej", która nakazuje zapewnienie określonym informacjom odpowiedniej ochrony (np. tajemnica: lekarska, skarbowa, bankowa, adwokacka, handlowa itp.). Brak spełnienia tych obowiązków może być przyczyną konsekwencji prawnych - od kar finansowych aż do kary pozbawienia wolności.

Organizacja, która chce należycie zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach, którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Obecnie najlepszym rozwiązaniem jest standard System Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS Information Security Management System) zgodny z PN ISO/IEC 27001 2007 (ISO/IEC 27001:2005) o międzynarodowym zasięgu. System ten określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji:
  • polityka bezpieczeństwa informacji
  • organizacja bezpieczeństwa informacji
  • zarządzanie zasobami
  • bezpieczeństwo osobowego
  • bezpieczeństwo fizyczne i środowiskowe
  • zarządzanie systemami i sieciami
  • kontrola dostępu
  • uzyskiwanie, rozwój i utrzymanie systemów informacyjnych
  • zarządzanie incydentami dotyczącymi bezpieczeństwa informacji
  • zarządzanie ciągłością działania
  • zgodność


Rodzina norm z serii ISO/IEC 27000

Rodzina norm z serii ISO/IEC 27000 "Technika informatyczna - Techniki bezpieczeństwa - .... (Information technology - Security techniques …) obejmuje:
  • ISO/IEC 27000 — Information security management systems — Overview and vocabulary standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip – norma zawiera podstawowe zasady, koncepcje i słownictwo wykorzystywane w standardach serii 27000. Oznaczenie oficjalnej wersji z 2009 roku: ISO/IEC 27000:2009
  • ISO/IEC 27001 — Information security management systems — Requirements – norma określa wymagania dla budowy i funkcjonowania systemów zarządzania bezpieczeństwem informacji. Od stycznia 2007 dostępna jest również polska wersja normy oznaczona: PN-ISO/IEC 27001:2007.
  • ISO/IEC 27002 — Code of practice for information security management – norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Od stycznia 2007 dostępna jest polska norma oznaczona: PN-ISO/IEC 17799:2007.
  • ISO/IEC 27003 — Information security management system implementation guidance – norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy ich wdrożeniu.
  • ISO/IEC 27004 — Information security management — Measurement – norma dotyczy opomiarowania zarówno procesów zarządzania bezpieczeństwem jak i poszczególnych zabezpieczeń funkcjonujących w ramach systemów zarządzania bezpieczeństwem informacji.
  • ISO/IEC 27005 — Information security risk management – norma zawiera wytyczne dla procesu zarządzania ryzykiem.
  • ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems – norma określa wymagania dla jednostek przeprowadzających audyty certyfikacyjne systemów zarządzania bezpieczeństwem informacji.
  • ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system) – norma definiuje dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji.
  • ISO/IEC 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)
  • ISO/IEC 27010 provides guidance on information security management for inter-sector and inter-organisational communications.
  • ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 – norma stanowi rozszerzenie ISO 27001/27002 o dobre praktyki dla przemysłu telekomunikacyjnego.
  • ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
  • ISO/IEC 27014 — Information security governance framework
  • ISO/IEC 27015 — Information security management guidelines for the finance and insurance sectors
  • ISO/IEC TR 27016 will cover the economics of information security management.
  • ISO/IEC 27017 will cover information security aspects of cloud computing.
  • ISO/IEC 27018 will cover privacy aspects of cloud computing.* ISO/IEC 27031 – ICT readiness for business continuity (prawdopodobny tytuł) – standard dotyczyć będzie ciągłości działania. Przewiduje się, że opierać się będzie na standardach SS507 oraz BS 25999. Przewidywana data zakończenia prac nie jest znana.
  • ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity ISO/IEC 27031:2011 is an ICT-focused standard on business continuity.
  • ISO/IEC 27032 — Guideline for cybersecurity – jest to propozycja dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. Nie opublikowano jednak bardziej szczegółowych informacji na jego temat.
  • ISO/IEC 27033 — IT network security – jest to propozycja rodziny norm zastępującej istniejący standard ISO/IEC 18028:2006 dotyczący bezpieczeństwa sieci teleinformatycznych. Część pierwsza: ISO/IEC 27033-1 — IT network security – Overview and concepts
  • ISO/IEC 27033-1 — Information technology - Security techniques - Network security - Part 1: Overview and concepts
  • ISO/IEC 27033-2 — Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security
  • ISO/IEC 27033-3 — Information technology - Security techniques - Network security - Part 3: Reference networking scenarios -- Risks, design techniques and control issues
  • ISO/IEC 27033-4 — Information technology - Security techniques - Network security - Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues
  • ISO/IEC 27033-5 — Information technology - Security techniques - Network security - Part 5: Securing virtual private networks - Risks, design techniques and control issues
  • ISO/IEC 27033-6 — Information technology - Security techniques - Network security - Part 6: IP convergence
  • ISO/IEC 27033-7 — Information technology - Security techniques - Network security - Part 7: Wireless
  • ISO/IEC 27034 — Guideline for application security – Standard bezpieczeństwa dla aplikacji.
  • ISO/IEC 27035 — Security incident management
  • ISO/IEC 27036 — Guidelines for security of outsourcing
  • ISO/IEC 27037 — Guidelines for identification, collection and/or acquisition and preservation of digital evidence
  • ISO/IEC 27038 — specification for digital redaction.
  • ISO/IEC 27039 — concerns intrusion detection and prevention systems.
  • ISO/IEC 27040 — guideline on storage security.
  • ISO/IEC 27041 — guideline on assurance for digital evidence investigation methods.
  • ISO/IEC 27042 — guideline on analysis and interpretation of digital evidence.
  • ISO/IEC 27043 — guideline on digital evidence investigation principles and processes.* ISO/IEC 27799 – Security Management in Heath – wersja ISO 27002 dedykowana dla sektora medycznego. Organizacja ISO dystrybuuje projekt tego standardu.
  • ISO 27799 — Information security management in health using ISO/IEC 27002 (ISO 27799:2008 provides health sector specific ISMS implementation guidance based on ISO/IEC 27002


Miejsce w dziedzinie zarządzania





Zobacz też

Bibliografia

ISO/IEC 27000-series na Wikipedii en

Strona serii norm ISO/IEC 27000
ostatnia modyfikacja 20 sierpnia 2016 r.
1983 Agencja Bezpieczeństwa Narodowego Departamentu Obrony USA ang.: National Security Agency oraz Narodowe Biuro Standaryzacji publikują dokument TCSEC Trusted Computer System Evaluation Criteria (Orange Book) - wydany w postaci pomarańczowej książeczki, której zawdzięcza swoją nieoficjalną nazwę. Dokument ten opisuje podstawowe wymagania jakie muszą spełnić środki ochrony w systemie komputerowym do przetwarzania informacji podlegającej ochronie. Dokument został zaktualizowany w roku 1985 a następnie zastąpiony przez międzynarodowy standard Common Criteria.
1987Freedom of Information Act (FOIA) - Blue Book
1991ITSEC (Information Technology Security Evaluation Criteria ) – zbiór kryteriów oceny bezpieczeństwa systemów teleinformatycznych. W odróżnieniu od wcześniejszego TCSEC (Orange Book) standard ITSEC nie wskazywał żadnych konkretnych rozwiązań technicznych.
1992W grudniu opublikowano wersję roboczą dokumentu Federal Criteria. Standard ten miał zastąpić TCSEC Trusted Computer System Evaluation Criteria (Orange Book), jednakże nigdy nie powstała jego wersja ostateczna, aż do zaprzestania prac po wprowadzeniu międzynarodowego standardu Common Criteria.
1993BSI British Standards Institution (Brytyjski Instytut Normalizacji) oraz DTI (Department of Trade and Industry)- publikują dokument BS PD0003- Wytyczne postępowania w zakresie bezpieczeństwa.
1995BSI British Standards Institution (Brytyjski Instytut Normalizacji) - publikuje standard BS 7799-1 wytyczne postępowania w dziedzinie zarządzania bezpieczeństwem Code of practice for Information Security Management. Standard ten został opracowanay w wyniku dużego zainteresowania wczesniejszym dokumentem - BS PD0003.
1995 ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje ISO/IEC TR 13335. Jest to tzw. raport techniczny pt. "Technika informacyjna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych" (ang. Information Technology - Guidelines for the Management of IT Security = GMITS).
1996Pierwsza wersja dokumentu Common Criteria for Information Technology Security Evaluation znany pod skróconą nazwą Common Criteria v. 1.0 - norma pozwalająca w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznych.
1997Common Criteria v. 2.0
1998BSI British Standards Institution (Brytyjski Instytut Normalizacji) - publikuje standard BS 7799-2 ang.: Information Security Management Systems - Specification with guidance for use. Standard ten definiuje wymagania w zakresie ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.
1999ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje normę ISO/IEC 15408-1 ang.: Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model - Technika informatyczna -- Techniki zabezpieczeń -- Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny W normie zdefiniowano kryteria, określane mianem Wspólnych Kryteriów, które mogą być używane jako podstawa oceny właściwości zabezpieczeń produktów i systemów teleinformatycznych.
1999BSI British Standards Institution (Brytyjski Instytut Normalizacji) - publikuje aktualizację standardu BS 7799-1.
1999BSI British Standards Institution (Brytyjski Instytut Normalizacji) - publikuje aktualizację standardu BS 7799-2
2000ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje normę ISO/IEC 17799 ang.: Information technology -- Code of practice for information security management - Technika informatyczna -- Praktyczne zasady zarządzania bezpieczeństwem informacji. W normie podano zalecenia dotyczące zarządzania bezpieczeństwem informacji dla osób odpowiedzialnych za inicjowanie, wdrażanie i utrzymywanie bezpieczeństwa w swoich instytucjach.
2002BSI British Standards Institution (Brytyjski Instytut Normalizacji) - publikuje aktualizację standardu BS 7799-2
2004ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje aktualizacje normy ISO/IEC 15408-1.
2005ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje drugą edycję normy ISO/IEC 17799.
2006ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje normę ISO/IEC 27001 ang.: Information technology -- Security techniques -- Information security management systems -- Requirements - Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania. W normie przedstawiono wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia udokumentowanego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w całościowym kontekście ryzyk biznesowych i określono wymagania dotyczące wdrożenia zabezpieczeń dostosowanych do potrzeb organizacji lub ich części.
2007ISO ang.: International Standard Organisation (Międzynarodowa Organizacja Normalizacyjna) wspólnie z IEC ang.:International Electrotechnical Commission (Międzynarodową Komisję Elektrotechniczną) publikuje normy: