SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007
-
Upload
sophia-rosales -
Category
Documents
-
view
43 -
download
0
description
Transcript of SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007
SYSTEM SYSTEM ZARZĄDZANIA ZARZĄDZANIA
BEZPIECZEŃSTWEM BEZPIECZEŃSTWEM INFORMACJI- INFORMACJI-
wymagania normy wymagania normy ISO 27001:2007 ISO 27001:2007
Grażyna SzydłowskaGrażyna Szydłowska
INFORMACJA NABIERA CORAZ WIĘKSZEGO ZNACZENIA
W PORÓWNANIU DO POZOSTAŁYCH, MATERIALNYCH SKŁADNIKÓW MAJATKU FIRMY
PN ISO/IEC 27001:2007 Technika informatyczna
- Techniki bezpieczeństwa
- Techniki zarządzania bezpieczeństwem informacji - Wymagania PN- EN ISO/IEC 17799:2003 Praktyczne Zasady Zarządzania Bezpieczeństwem Informacji
Information Security Management System ISMS
Bezpieczeństwo wg ISO IEC 27001:2005
Zarządzamy bezpieczeństwem informacji w trzech obszarach:
• poufność• integralność• dostępność
BUDOWA NORMY ISO IEC 27001 Wprowadzenie
1. Zakres normy
2. Powołania
3. Terminy i definicje
4. System zarządzania bezpieczeństwem informacji
5. Odpowiedzialność kierownictwa
6. Wewnętrzne audity ISMS
7. Przegląd zarządzania ISMS
8. Doskonalenie ISMS
Załącznik A Cele zabezpieczeń i zabezpieczenia
NORMA ISO IEC 27001:2005
PLANUJPLANUJustanowienie ISMS
SPRAWDZAJSPRAWDZAJ pomiary
i przeglądy ISMS
DZIAŁAJDZIAŁAJ utrzymanie
i doskonalenie ISMS
WPROWADŹWPROWADŹ wdrożenie
i utrzymywanie ISMS
Wymagania
i oczekiwania
dla bezpieczeństwa
informacji
bezpieczeństwo
informacji
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2 Ustanowienie i zarządzanie ISMS
4.2.1 Ustanowienie ISMS
Cele i zakres
Polityka SZMS
Analiza ryzyka
Deklaracja stosowania
Zgoda kierownictwa
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2.2 Wdrożenie i funkcjonowanie ISMS
Obsługa zdarzeń
Postępowanie z ryzykiem
Uświadomienie i szkolenia
Zarządzanie zasobami
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2.3 Monitorowanie i przeglądy ISMS
Monitorowanieprocedury
Regularneprzeglądy
Audyty
Weryfikacja skuteczności
Analiza ryzyka
P 4. System Zarządzania Bezpieczeństwem Informacji
4.3 Wymagania dot. dokumentacji
Polityka i cele
Deklaracja stosowania
Objęty zakres
Procedury zabezpieczenia
i zapisy
Plan postępowania z ryzykiem
Opis analizy ryzyka
Analiza ryzyka
Analizy ryzyka nie przeprowadza się tylko raz
dlaczego?
Wymagane jest jej okresowe ponawianie celem sprawdzenia:
• czy nie nastąpiły zmiany w naszej działalności• czy nie nastąpiły zmiany priorytetów• czy katalog zasobów jest aktualny• czy katalog zagrożeń jest aktualny• czy stosowane zabezpieczenia są ciągle skuteczne i efektywne
P 5. Odpowiedzialność kierownictwa
5.1 Zaangażowanie kierownictwa
a) Ustanowienie polityki bezpieczeństwa informacji
b) Zapewnienie, że cele i plany bezpieczeństwa informacji są ustanowione
c) Ustalenie zadań i odpowiedzialności dla bezpieczeństwa informacji
d) Zakomunikowanie wagi spełnienia wypełnienia celów zgodnych z polityką bezpieczeństwa informacji
e) Zapewnienia niezbędnych zasobów
f) Zatwierdzenie akceptowalnego poziomu ryzyka
g) Przeprowadzenie przeglądów zarządzania
P 5. Odpowiedzialność kierownictwa 5.2 Zarządzanie zasobami 5.2.1 Dostępność zasobów. Zapewnienie zasobów do: a) ustanowienia, wdrożenia, funkcjonowania i doskonalenia
b) weryfikacji czy procedury bezpieczeństwa informacji wspierają wymagania biznesowe
c) spełnienia wymogów prawnych
d) utrzymanie odpowiedniego poziomu bezpieczeństwa przez zastosowanie wdrożonych zabezpieczeń
e) prowadzanie przeglądów ISMS
f) gdy potrzeba – podnoszenia skuteczności systemu
P 5. Odpowiedzialność kierownictwa 5.2.2 Szkolenie, uświadomienie i kompetencje
Określenie kompetencji
Szkolenie i ich ocena
Zapisy dot. kwalifikacji …
P 6. Wewnętrzne audity ISMS
Wewnętrzne audity ISMS
Ocena spełnienia wymagań prawnych
Niezależneprzeglądy
zewnętrzne
Ocena spełnienia wymagań ISMS
Ocena funkcjonowania
ISMS
Dane wejściowe
P 7. Przeglądy ISMS
Przeglądy funkcjonowania ISMBNp.:- nowe procedury- postępowanie z ryzykiem- uzupełnienie zasobów- ulepszenie w ISMB
Przegląd ISMS
Dane wejścioweNp.:- wyniki auditów- analiza ryzyka- nowe technologie- nowe zagrożenia
P 8. Doskonalenie ISMS
Np.:• zagrożenia• wyniki przeglądów
Funkcjonujący ISMS
DZIAŁANIA
ZAPOBIEGAWCZE
DZIAŁANIA
KORYGUJĄCE
Załącznik A do normy ISO IEC 27001
5. polityka bezpieczeństwa informacji
6. Organizacja bezpieczeństwa informacji
7. Zarządzanie aktywami
8. Bezpieczeństwo osobowe
9. Bezpieczeństwo fizyczne i środowiskowe
10. Zarządzanie działalnością oraz komunikacją
11. Kontrola dostępu
12. Zbieranie danych, rozwój oraz utrzymanie systemu
13. Zarządzanie incydentami bezpieczeństwa informacji
14. Zarządzanie ciągłością działania
15. Zgodność