Jakie wymagania zawiera norma ISO 27001?
Słownikowa definicja standardu stanowi iż jest to wspólnie określone kryterium, określonych cechy uznanych za pożądane. Trudno sobie wyobrazić jakąkolwiek formę organizacji, a co dopiero takiej, którą określić by można mianem „dobrze prosperującej” bez uwzględnienia nawet nacechowanej dużą dozą dowolności i spontaniczności normą określającą kryteria pozwalające określać jakiekolwiek ramy sensu jej jestestwa – cz. określające cele, założenia, środki itp. Zatem standard jawiący się, jako rzecz istotna i nie zbywalna dla organizacji stanowi czynnik decydujący o jej obecnym i późniejszym kształcie. Przekłada się to również na zasób bezpieczeństwa, rzeczonej organizacji, będącego przecież niebagatelnym czynnikiem towarzyszącym przy prawidłowym jej funkcjonowaniu. Mając tego świadomość należało by wspomnieć o stosunkowo prostym rozwiązaniu, którego wprowadzenie do organizacji choć mozolne bo i czasochłonne warte jest wysiłku. Mowa o jednym ze standardów Międzynarodowej Organizacji Normalizacyjnej (ISO) oferującej podstawowe wymagania systemu zarządzania organizacją w wybranych obszarach – w tym również bezpieczeństwa cyfrowego, a który to kryje się za kodowaną nazwą ISO/IEC 27001, która to określa nie tylko wymagania w zakresie bezpieczeństwa cyfrowego, ale szerzej bezpieczeństwa informacji.
Według wielu ten konkretny standard uznawany jest obecnie za najbardziej rozpoznawalną międzynarodową normę dla systemów zarządzania bezpieczeństwem informacji. Wymienia się przeważnie wiele zalet związanych z jego wykorzystaniem, między innymi fakt, że kompleksowo podchodzi do bezpieczeństwa informacji, jej dostępność, która zapewnia, że upoważnieni użytkownicy mają dostęp do informacji i związanych z nimi aktywów, gdy jest to wymagane, poufność, która zapewnia, że informacje są dostępne tylko dla osób upoważnionych do tego, czy pomoc organizacjom ustanowić politykę i cele operowania bezpieczeństwem informacji oraz zrozumieć, jak można zarządzać istotnymi elementami, wdrożyć obligatoryjne kontrole i nakreślić klarowne dążenia. Nie wątpliwą jej zaletą jest to, że może być ona kompatybilna i działać w sposób zharmonizowany z innymi znanymi normami, co warto zauważyć nie tylko ISO ale również TISAX czy AS9100. Zachodzi więc potrzeba odpowiedzenia sobie na pytanie zawarte w tytule niniejszego tekstu – Jakie wymagania zawiera norma ISO 27001?
1. Krótka charakterystyka normy ISO 27001?
2. Jakie wymagania zawiera norma ISO 27001?
Ad. 1. Krótka charakterystyka normy ISO 27001?
ISO/IEC 27001, jak było wspomniane na wstępie jest jednym ze standardów Międzynarodowej organizacji normalizacyjnej, której akronim (z angielskiej nazwy: International Standards Organization) inspirowane było greckim słowem isos, czyli równy. Kod 27001 jest jej odgałęzieniem z dziedziny bezpieczeństwa danych. Skupia się zatem na identyfikacji, ocenie i zarządzaniu ryzykiem w procesach przetwarzania informacji, przy czym kwestia bezpieczeństwa poufności informacji jest podkreślane, jako istotny element strategiczny. Stanowi zbiór regulacji (wymagań do wdrożenia), których głównym celem jest zapewnienie zaimplementowania, późniejszego utrzymywania i doskonalenia (rozwijania) w organizacji systemu zarządzania bezpieczeństwem informacji – SZBI (z angielskiego Information Security Management Systems – ISMS). Norma ta ma zastosowanie do każdej organizacji, nie zależnie od wielkości i branży w ramach których prosperuje. Należy zaznaczyć iż istnieją również normy branżowe takie jak TISAX w motoryzacji, które bazują na ISO27001, poza tym istnieje szereg prawnych wymagań dla poszczególnych podmiotów np. NIS2 czy Part-IS dla branży lotniczej. Oznacza to również, że poza podmiotami prywatnymi, norma ta może mieć również zastosowanie do firm publicznych. ISO 27001 stanowi doskonały punkt wyjścia do osiągnięcia wymagań technicznych i operacyjnych niezbędnych do zapobiegania naruszenia ochrony danych. Podstawowymi elementami jakie ją cechują są:
– zachowanie poufności,
– zachowanie integralności,
– dostępność informacji.
Decydując się na wdrożenie w organizacji standardu wyznaczonego przez regulacje normy, sama zainteresowana firma musi przede wszystkim zgodzić się na wdrożenie kompleksowego rozwiązania systemowego w sferze zarządzania. We wdrożenie powinna zaangażować się zarówno kadra zarządzająca, jak i poszczególne szczeble struktury organizacyjnej. Należy również przed wdrożeniem zaplanować poszczególne kroki biorąc pod uwagę jaki wysiłek organizacyjny, zaangażowanie personelu oraz zasoby finansowe. Zastrzec należy, że norma ta powinna być postrzegana przez organizację, jako wspierające jej rozwój, a nie hamulec, czy irytującą konieczność działającą mimowolnie. Ten ostatni aspekt jest o tyle ważny, że zjawisko to stanowi istną plagę, nawet pośród młodych organizacji, dopiero wchodzących na rynek, nie mówiąc już o takich, które funkcjonują już od dłuższego czasu.
Ad. 2. Jakie wymagania zawiera norma ISO 27001?
Szeroko rozumiane dane dystrybuowane w formie elektronicznej czy papierowej muszą podlegać takiej samej ochronie, dlatego, że są nośnikiem (potencjalnie) bardzo ważnej informacji. Nie powinno więc dziwić, że obecnie pokaźna ilość organizacji boryka się z problemem efektywnego zarządzania bezpieczeństwem jej bezpieczeństwem. Norma ISO 27001 dostarcza w tym miejscu gotowych, a przede wszystkim efektywnych (jak pokazuje praktyka) rozwiązań, przyczyniając się do wzrostu zainteresowania organizacją i co za tym idzie znacznym zwiększeniem zaufania jej klientów oraz kontrahentów, którzy z nią dotychczas współpracowali. Implikuje to zwiększony popyt na wdrażanie tej normy we własnych organizacjach. Jedyną przeszkodą, jaka może stanąć na drodze zainteresowanym nią podmiotom jest przewlekłość samego procesu oraz poszczególne jej wymagania.
Wymagania zawarte w tej normie obejmują szereg punktów, które organizacje muszą spełnić, aby uzyskać certyfikację zgodności z ISO 27001. Oto główne wymagania zawarte w ISO 27001:2015:
A. Zakres normy: Określenie obszaru stosowania systemu zarządzania bezpieczeństwem informacji (ISMS) w organizacji.
B. Polityka bezpieczeństwa informacji: Ustanowienie polityki bezpieczeństwa informacji, która określa zobowiązania organizacji w zakresie ochrony informacji.
C. Zarządzanie ryzykiem: Identyfikacja, ocena i zarządzanie ryzykiem związanym z bezpieczeństwem informacji.
D. Bezpieczeństwo zasobów ludzkich: Zapewnienie odpowiedniego szkolenia i świadomości pracowników w zakresie bezpieczeństwa informacji.
E. Zarządzanie zabezpieczeniami: Wdrożenie odpowiednich zabezpieczeń informatycznych i fizycznych.
F. Kontrola dostępu: Kontrola dostępu do zasobów informacyjnych, w tym zarządzanie uprawnieniami.
G. Monitorowanie i ocena: Regularne monitorowanie, przeglądanie i ocena skuteczności systemu zarządzania bezpieczeństwem informacji.
H. Doskonalenie ciągłości działania: Zapewnienie ciągłości działania organizacji poprzez odpowiednie planowanie i przygotowanie na wypadek incydentów.