Rejestr certyfikatów ISO/IEC 20000, ISO/IEC 27001 oraz ISO 22301 przyznanych organizacjom w Polsce

Wprowadzenie
Rejestr
Wyszukiwanie

Najczęściej zadawane pytania dotycące zagadnień ogólnych związanych z normami i standardami


Gdzie mogę zdobyć normę/standard? 

ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27006, ISO/IEC 20000, ISO 22301 oraz inne opublikowane standardy można kupić od Międzynarodowej Organizacji Normalizacyjnej - ISO  (normy ISO) lub innych organizacji normalizacyjnych takich jak ANSI lub British Standards Institute. Standardy można nabyć również od organizacji komercyjnych takich jak IHS Technical Indexes, IT Governance, TechStreet lub wielu sklepów internetowych np. SAI Global. W przypadku naszego kraju standardy można nabyć w sklepie internetowym Polskiego Komitetu Normalizacyjnego ( https://sklep.pkn.pl ).

Zarówno ISO/IEC 27001 i ISO/IEC 27002 można nabyć w elektronicznej jak i papierowej wersji. Kopie papierowe są łatwiejsze do czytania np. w pociągu lub w trakcie prowadzenia dyskusji na spotkaniach. Kopie elektroniczne ułatwiają przeszukiwanie dokumentu, pozwalają na możliwość wycinania tekstu i wstawiania go do własnych opracowań (w tym przypadku należy pamiętać o ograniczeniach wynikających z praw autorskich). Oprócz zakupu i ściągnięcia zwykłych plików PDF organizacje standaryzujące umożliwiają dostęp online do standardów, zwykle ograniczony do określonej liczby użytkowników. Taki dostęp może być wygodny dla tych organizacji, które implementując określony standard, chcą zapewnić natychmiastowy dostęp do niego swoim pracownikom.

W przypadku PKN ceny norm zależą od grupy cenowej oraz liczby stron danej normy. Jeśli nabywamy normę w wersji elektronicznej, to jej cena uzależniona jest od liczby stanowisk, na których norma będzie wykorzystywana. 

 

Co oznacza skrót BS, ISO oraz ISO/IEC?

ISO jest skróconą nazwą międzynarodowej organizacji normalizacyjne znanej jako International Organization for Standardization. "ISO" nie jest  jednak skrótem od International Organization for Standardization. W rzeczywistości skrót "ISO" pochodzi od greckiego wyrazu isos znaczącego równy.
ISO jest organizacją pozarządową zrzeszającą krajowe organizacje normalizacyjne. ISO oficjalnie rozpoczęła działalność 23 lutego 1947r., a jej siedziba (Sekretariat Generalny) znajduje się w Genewie w Szwajcarii. Jednym z członków założycieli ISO był Polski Komitet Normalizacyjny. 

IEC to skrót od International Electrotechnical Commission, innej międzynarodowej organizacji normalizacyjnej, która ściśle współpracuje z ISO zwłaszcza w zakresie standardów z zakresu technologii elektrycznych, elektronicznych oraz dziedzin pokrewnych ogólnie zwanych „elektrotechnologią”. Standardy opracowywane wspólnie z ISO oznaczane są skrótem "ISO/IEC", chociaż w praktyce większość użytkowników upraszcza go (chociaż to niepoprawne) do "ISO".

W przypadku niektórych standardów ISO/IEC współpracuje z innymi międzynarodowymi organizacjami (zarówno rządowymi jak i z sektora prywatnego) np. z Międzynarodowym Związkiem Telekomunikacyjnym (ang. International Telecommunication Union - ITU). ITU jest związkiem, którego głównym zadaniem jest standaryzacja rynku telekomunikacyjnego oraz koordynacja działań międzynarodowych organizacji telekomunikacyjnych. Przykładowymi zadaniami ITU są zarządzanie pasmem radiowym w celu unikania interferencji międzykanałowych, czy też zachęcanie producentów sprzętu radiowego do wykorzystywania opracowanych standardów.

BS jest skrótem od British Standard. Stadardy brytyjskie opracowywane są przez BSI Group (British Standards Institute). Wiele z tych standardów stanowi podstawę do opracowania i wydania norm międzynarodowych, a więc jest prekursorem norm wydawaych przez ISO. 

 

Co oznacza przedrostek FDIS oraz inne skróty pojawiające się w projektach standardów przygotowywanych przez ISO? 

Powstało kilka skrótów, które wskazują na jakim etapie rozwoju znajduje się opracowywany standard. Wyróżnia się następujące skróty (etapy rozwoju):

1. NP = New Proposal - zainicjowanie prac, faza początkowa, 
2. WD = Working Draft (WD1, WD2 itd.) - faza projektowo-rozwojowa,
3. CD = Committee Draft - faza kontroli jakości,
4. FCD = Final Committee Draft - gotowy do finalnego zatwierdzenia,
5. FDIS = Final Draft or Distribution International Standard - gotowy do publikacji,
6. IS = International Standard - opublikowany standard.
 
Proces od fazy NP do IS zazwyczaj trwa od 2 do 4 lat. Na poszczególnych etapach opracowywania standardu zwraca się uwagę na każdy szczegół normy. Wymaga to współpracy i jednomyślności wszystkich organizacji członkowskich oraz komitetów należących do ISO lub IEC (w przypadku ISO są to "Organizacje Członkowskie" - MBs Member Bodies, a w przypadku IEC "Komitety Krajowe" NCs Ntional Committees). Kiedy dane opracowanie osiągnie etap WD poszczególne komitety oraz organizacje mają zwykle 3 miesiące na przejrzenie dokumentu, dyskusje oraz przesłanie formalnych komentarzy. Jeżeli komentarze są nieprzychylne publikuje się poprawione opracowanie WD i poddaje dalszemu komentowaniu. Kiedy dokumenty uzyskują postać końcową (stabilną) przeprowadza się ostateczne głosowanie. Opublikowane standardy są poddawane przeglądom co pięć lat lub rzadziej.

 

Co oznaczają skróty JTC1 SC27 oraz co to jest WG?

Jak można się spodziewać międzynarodowa organizacja rozwijająca i koordynująca dużą liczbę specjalistycznych standardów posiada odpowiednio rozbudowaną administrację, która zarządza i dzieli pracę. Organizacje członkowskie (ang. Member Bodies) zazwyczaj biorą udział w rozwoju standardów poprzez powoływanie komitetów technicznych (ang. Technical Committees), w skład których wchodzą osoby delegowane przez organizacje zajmujące się konkretnymi dziedzinami. W przypadku obszarów, którymi interesuje się zarówno IEC jaki ISO komitety techniczne ISO oraz IEC często współpracują ze sobą.

Ze względu na szczegółowe wymagania, dotyczące standaryzacji IT oraz ciągły rozwój tego obszaru ISO wraz z IEC utworzyły Wspólny Komitet Techniczny ISO/IEC JTC1, odpowiedzialny za standaryzację w zakresie techniki informatycznej.

Pojedyncze komitety techniczne powoływane np. przez Polski Komitet Normalizacyjny składają się z nie mniej niż 8 i nie więcej niż 30 osób. W szczególnie uzasadnionych przypadkach Prezes PKN może wyrazić zgodę na zmniejszenie lub zwiększenie liczby członków komitetu technicznego. Członkami komitetu technicznego są specjaliści, o których mowa w art. 23 ustawy z dnia 12 września 2002 r. o normalizacji, delegowani przez organy administracji rządowej, organizacje: gospodarcze, pracodawców, konsumenckie, zawodowe i naukowo-techniczne, szkół wyższych i nauki oraz pracownicy PKN.

W terminologii ISO, "SC" oznacza podkomitet (ang. Sub-Committee). SC27 jest głównym (ale nie jedynym) podkomitetem ISO/JTC1 odpowiedzialnym za standardy dotyczące bezpieczeństwa.

ITSC27 złożone jest z pięciu grup roboczych (ang. Working Groups):
● SC27/WG1 Systemy Zarządzania Bezpieczeństwem Informacji (ang. Information Security Manegement Systems) - odpowiedzialna za rozwój rodziny standadów ISO/IEC 27001 (w szczególności standardy od 27000 do 27007) oraz wskazówki do implementacji systemów zarządzania bezpieczeństwem informacji.

● SC27/WG2 Techniki i Mechanizmy Bezpieczeństwa (ang. Security Techniques and Mechanisms) - odpowiedzialna za kryptografię, zarządzanie kluczami.

● SC27/WG3 Ocena Kryteriów Bezpieczeństwa (ang. Security Evaluation Criteria) - odpowiedzialna za ustalanie wspólnych kryteriów, ocenę metod, możliwości oraz przydatności modeli zabezpieczeń itd.

●SC27/WG4 Zabezpieczenia i Cele Zabezpieczeń (ang. Security Control Objectives and Controls) - odpowiedzialna za rozmaite zagadnienia w istniejących standardach (np. wykrywanie włamań, bezpieczeństwo sieci, zarządzanie incydentami, zarządzanie stronami trzecimi, odtwarzanie po katastrofach) oraz za rozwój nowych obszarów (np. ciągłość działania, bezpieczeństwo aplikacji, outsourcing).

● SC27/WG5 Zarządzanie Tożsamością oraz Technologie Ochrony Prywatności (ang. Identity Management and Privacy Technologies) - odpowiedzialna za zarządzanie tożsamością oraz technologie ochrony prywatności.

Z kolei za standardy związane z jakością usług odpowiada SC7, w skład którego aż wchodzi 13 grup roboczych.

W ramach ISO istnieją również inne grupy robocze: OWG (ang. Rother Working Groups), SWG (ang. Special Working Groups), RG (ang. Rapporteur Groups), JWG (ang. Joint Working Groups), sympozja (ang. Workshops) oraz grupy specjalne ITTF (ang. IT Task Force). 

 

Czy można mieć wgląd w projekty standardów ISO/IEC? Czy mogę przyczynić się do ich rozwoju? 

Jeżeli chciałbyś zaangażować się i wspierać rozwój standardów serii ISO/IEC skontaktuj się z organizacją normalizacyjną (np. BSI, NIST, PKN) lub z krajowym komitetem normalizacyjnym, a konkretnie z osobą, grupą bądź komitetem współpracującym z JTC1/SC27 lub JTC/SC 7 i zaoferuj swoje usługi. W kwestii brytyjskich standardów warto zwrócić się do BSI Goup, która umożliwia również skomentowanie projektów przygotowywanych norm.
Wiedz jednak, że jeżeli zaangażujesz się w rozwój standardów, zabierze to Tobie dużo wolnego czasu. Doświadczeni specjaliści, którzy są przygotowani do dużego wysiłku oraz współpracy z innymi specjalistami na całym świecie, mają szanse, aby wpływać na przyszły rozwój ISO/IEC 27001, ISO/IEC 20000 i ISO 22301. 

 

W jaki sposób mogę uzyskiwać bieżące informacje dotyczące standardów bezpieczeństwa, jakości usług i ciągłości działania?

Na początku warto poszukać newsletter'ów, dotyczących danego standardu i zapisać się do tego, który wyda się nam odpowiedni (w tym celu warto wykorzystać wyszukiwarkę Google).

Innym profesjonalnym źródłem wiedzy są organizacje zajmujące się bezpieczeństwem takie jak ISSA lub ISACA, które publikują coraz więcej artykułów związanych z ISO/IEC 27001

Warto również regularnie odwiedzać naszą stronę (przynajmniej raz w miesiącu). Jeśli drogi Czytelniku odkryjesz jakieś nowe informacje, których tutaj nie zdążyliśmy opublikować, prosimy abyś się z nami skontaktował i podzielił się nimi z innymi naszymi czytelnikami. 

 

Co oznacza pojęcie cykl PDCA? 

Pojęcie PDCA związane jest z koncepcją zarządzania zwaną cyklem lub kołem Deminga i pochodzi od pierwszych liter od słów w j.angielskim:


Plan – Planuj: oznacza ustanowienie celów i procesów koniecznych do uzyskiwania wyników zgodnie z wymaganiami klienta i polityką organizacji

Do – Wykonaj: oznacza wdrożenie procesów

Check – Sprawdź: oznacza monitorowanie raz mierzenie procesów i usług z uwzględnieniem polityki, celów i wymagań oraz informowanie o wynikach

Act – Działaj: oznacza podjęcie działań w celu ciągłego doskonalenia wydajności procesu

 

Aktualności

Niebezpieczne (smart) telewizory

Wiele współczesnych telewizorów jest połą...

Więcej...

Zagrożenie phishingowe dla użytkowników produktów Apple

Eksperci z Kaspersky Lab Polska poinformowali, że cały ...

Więcej...

Wykryto poważną lukę w USB

Niemieccy specjaliści poinformowali o odkryciu poważnej ...

Więcej...

Newsletter
Sondaż

Kto w Państwa organizacji odpowiada za bezpieczeństwo informacji?

---reklama---