Rejestr certyfikatów ISO/IEC 20000, ISO/IEC 27001 oraz ISO 22301 przyznanych organizacjom w Polsce

Wprowadzenie
Rejestr
Wyszukiwanie

Najczęściej zadawane pytania dotyczące ISO/IEC 27001 

 

Szukam książki dotyczącej standardu ISO/IEC 27000. Interesują mnie również uczelnie nauczającej o tym standardzie. Chciałbym uzyskać certyfikat umożliwiający mi świadczenie usług doradczych w zakresie wdrażania standardów w organizacjach.

Najlepszą książką dotyczącą standardu ISO/IEC 27001 jest sam standard. Inaczej mówiąc powinno się kupić standard i czytać go. Standardy pisane są językiem formalnym. Są jednak czytelne i dzięki temu użyteczne.

Wyróżnia się dwie główne części:
1.   ISO/IEC 27001 - jest to standard, na zgodność z którym organizacje mogą się certyfikować. Norma ta zawiera wymagania, dotyczące Systemów Zarządzania Bezpieczeństwem Informacji (aSZBI, ng. Information Security Management Systems - ISMS) i jest szczególnie przydatna, jeżeli chcesz zostać np. certyfikowanym audytorem. Zwykle podstawową drogą uzyskania certyfikatu audytora wewnętrznego/wiodącego systemów bezpieczeństwa ISO/IEC 27001 jest odbycie kursu organizowanego przez np. jednostki standaryzujące takie jak BSI lub różne firmy konsultingowe oraz zaliczenie testu sprawdzającego wiedzę. Obok szkoleń dla audytorów można znaleźć szkolenia dotyczące np. projektowania i budowania systemów bezpieczeństwa informacji, dokumentowania i doskonalenia systemów zarządzania bezpieczeństwem informacji i wiele innych powiązanych tematycznie z ISO/IEC 27001.

2.   ISO/IEC 27002 - jest to zbiór dobrych praktyk, porad, zaleceń dotyczących projektowania systemów zarządzania bezpieczeństwem informacji. Najlepszą drogą do poznania ISO/IEC 27002 jest praktyczne wykorzystywanie zaleceń w trakcie implementowania systemów bezpieczeństwa informacji. Jeżeli nie masz wcześniejszych doświadczeń w zakresie bezpieczeństwa informacji powinieneś spróbować znaleźć doświadczonego opiekuna. Możesz również przyłączyć się do licznych forów w tym zakresie i konsultować swoje działania z innymi specjalistami.

Aby zostać konsultantem radzimy Tobie rozpocząć pogłębianie wiedzy w zakresie IT, ryzyka, audytu. Osobom, które posiadają wykształcenie informatyczne jest o wiele łatwiej rozpocząć specjalizację w zakresie bezpieczeństwa informacji, ze względu na bliski związek tych dwóch obszarów. Innym doskonałym źródłem wiedzy, szczególnie dla osób rozważających zdobycie certyfikatów w zakresie zarządzania bezpieczeństwem informacji takich jak CISSP, SSCP oraz CISM , jest www.cccure.org.


Co jest konieczne, aby uzyskać certyfikat na zgodność z ISO/IEC 27001?

Wdrożenie systemu zarządzania bezpieczeństwem informacji SZBI (ang. Information Security Management System) tak, aby można było go certyfikać na zgodność z ISO/IEC 27001 jest procesem długotrwałym, wymagającym przeprowadzenia szeregu czynności. Wpływ na czas wdrożenia i certyfikowania SZBI ma między innymi wielkość organizacji. Niemniej jednak w procesie tym można wskazać następujące etapy:

1.    Uzyskanie wsparcia od Kierownictwa
Łatwiej powiedzieć niż zrobić. Dobrym sposobem jest uświadomienie kierownictwa poprzez np. wskazanie aktualnych luk bezpieczeństwa, zagrożeń dla bezpieczeństwa informacji oraz praktycznych zabezpieczeń (posiłkując się ISO/IEC 27002), uświadomienie ewentualnych strat wynikających z braku systemu zarządzania bezpieczeństwem oraz korzyści wynikających z jego posiadania.

2.    Zdefiniowanie zakresu SZBI
Należy wskazać, co system zarządzania bezpieczeństwem informacji będzie obejmował np. jakie jednostki, departamenty, zespoły, systemy itd.

3.    Kolejne równolegle etapy to: 
a. Przygotowanie Deklaracji Stosowania
Należy określić cele stosowania zabezpieczeń oraz zabezpieczenia odpowiednie dla budowanego przez organizację SZBI oraz uzasadnić, które są odpowiednie, a które nie.
b. Zinwentaryzowanie zasobów
Inwentaryzacja powinna obejmować wszystkie systemy informacyjne, sieci, bazy danych, inne zasoby informacyjne, dokumenty itd. zgodnie ze zdefiniowanym zakrem SZBI.

4.    Przeprowadzenie analizy ryzyka
Aby przeprowadzić analizę ryzyka najlepiej skorzystać z gotowej i uznanej metodyki. Istnieją różne metody analizy ryzyka. Przykład metody został omówiony np. w normie ISO/IEC TR 13335 Information technology - Guiedlines for the management of IT Security.

5.    Przygotowanie Planu Postępowania z Ryzykiem
Plan przedstawia jakie zabezpieczenia będą zastosowane w celu ograniczenia zidentyfikowanych ryzyk, zwykle poprzez odwołanie się do zabezpieczeń proponowanych w ISO/IEC 27002, innych standardów lub dobrych praktyk stosowanych w Twojej organizacji.

6.    Opracowanie programu wdrażania SZBI
Etap ten polega na opracowaniu ogólnego programu, zbudowanego z szeregu pojedynczych projektów wdrożeniowych. Projekty odnoszą się do zbioru dobrych praktyk opisanych w standardzie ISO/IEC 27002. Na tym etapie osoby odpowiedzialne za tworzenie SZBI zazwyczaj potrzebują pomocy doświadczonych profesjonalistów z zakresu bezpieczeństwa informacji (szczególnie w zakresie kierowania grupą roboczą odpowiedzialną za tworzenie SZBI). Opracowanie projektów wymaga również współpracy z różnymi komórkami organizacyjnymi takimi jak komórki IT, audytu wewnętrznego, ryzyka, zgodności, HR, finansowa. Radzimy, aby jeżeli to możliwe kolejność opracowywania projektów uzależniona była od wartości zidentyfikowanych ryzyk tzn. w pierwszej kolejności zaleca się tworzenie projektów, dotyczących obszarów o największym ryzyku utraty bezpieczeństwa informacji.

7.    Implementacja programu wdrożenia SZBI
Na tym etapie implementuje się zabezpieczenia zgodnie z opracowanym programem wdrażania SZBI. Poszczególne projekty programu realizowane są przez różne komórki organizacyjne. Ważne jest, aby całość prac była nadzorowana i zarządzana.

8.    Eksploatacja SZBI
Na SZBI składa się szereg procesów, którym towarzyszą polityki, standardy procedury, wytyczne itd. Należy pamiętać, że budowanie systemu bezpieczeństwa nie polega na jednostkowym wdrożeniu. Jest to ciągły i stale trwający proces, co doskonale oddają słowa Bruce Sheiner'a: "bezpieczeństwo nie jest produktem lecz procesem". Proces ten wymaga finansowania, ciągłego kierowania oraz doskonalenia, aby zapewnić, że jest on odpowiedni i sprawdza się w organizacji.

9.    Dokumentowanie SZBI
SZBI mieści w sobie szereg dokumentów takich jak opracowane polityki bezpieczeństwa, standardy, procedury, wytyczne itp. Oprócz tego w trakcie eksploatacji systemu zarządzania bezpieczeństwem informacji generowane są różnego rodzaju zapis np. raporty z analizy ryzyka, różne logi, raporty z przeglądu logów, raporty z audytów itp. Dokumentacja wchodząca w skład SZBI wymaga właściwego przechowywania oraz zarządzania. Ma ona decydujące znaczenie zarówno dla zapewnienia poprawnej eksploatacji systemu zarządzania bezpieczeństwem jak i w celu potwierdzenia (w szczególności przed audytorami), że ustanowiony i wdrożony system funkcjonuje i jest efektywny.

10.    Sprawdzanie zgodności
Nie zawsze jest tak, że wdrożone i przekazane do wykonania zarządzenia rzeczywiście będą wykonywane. Rozdział 15 normy ISO/IEC 27002 zawiera zabezpieczenia, dotyczące zapewnienia zgodności, zarówno z wewnętrznymi (np. polityką bezpieczeństwa) jak i zewnętrznymi (np. przepisy prawa) wymaganiami. SZBI wymaga sprawdzania oraz raportowania odnośnie zapewnienia zgodności, a w konsekwencji podejmowania działań korygujących. Wewnętrzna ocena zgodności jest rutynowym działaniem w przypadku dojrzałych i poprawnie funkcjonujących systemów zarządzania bezpieczeństwem informacji.

11.    Podejmowanie działań korygujących
Wynikiem przeglądów oraz sprawdzenia niezgodności powinny być działania korygujące, mające na celu wyeliminowanie wszelkich zidentyfikowanych niezgodności oraz niedoskonałości, a tym samym zapewniające ciągłe ulepszanie SZBI. Zarządzanie systemem oparte na pętli Deminga PDCA (ang. Plan-Do-Check-Act) umożliwia systematyczne i ciągłe dostosowywanie systemu do wymagań narzucanych przez biznes przy jednoczesnym uwzględnieniu ryzyka związanego z bezpieczeństwem informacji.

12.    Ocena przedcertyfikacyjna
Kiedy SZBI zostanie wdrożony, a jego funkcjonowanie ustabilizuje się, kierownictwo powinno podjąć decyzję o przeprowadzeniu audytu sprawdzajacego, czy SZBI funkcjonuje poprawnie (np. prace w tym zakresie można zlecić zewnętrznemu konsultantowi). Audyt ten jest obszerną oceną zgodności, w czasie której dokonuje się przeglądu między innymi Deklaracji Stosowania oraz Planu Postępowania z Ryzykiem. Etap ten ma na celu upewnienie się, że w trakcie wdrażania SZBI nic ważnego nie pominięto (co może mieć miejsce szczególnie w przypadku zachodzących w biznesie ciągłych zmian, które wpływają na ryzyko związane z bezpieczeństwem informacji).

13.    Audyt certyfikacyjny
W przypadku wdrożonego i poprawnie funkcjonującego systemu zarządzania bezpieczeństwem informacji, kierownictwo może podjąć decyzję o przeprowadzeniu certyfikacji. W tym przypadku wybiera i zaprasza się akredytowaną organizację certyfikującą. Audytorzy sprawdzają istnienie dowodów świadczących o wdrożeniu i funkcjonowaniu systemu zarządzania bezpieczeństwem informacji takich jak Polityka Bezpieczeństwa, Deklaracja Stosowania, Plan Postępowania z Ryzykiem, zapisy operacyjne itd. Audytorzy starają się potwierdzić, że system zarządzania bezpieczeństwem informacji jest odpowiedni i wystarczający, aby spełnić wymagania organizacji związane z bezpieczeństwem informacji. Audytorzy potwierdzają również, czy ustanowiona polityka bezpieczeństwa jest stosowana w praktyce. 

 

Zostałem zaangażowany do pracy ze standardem ISO 27001, ponieważ moja organizacja chce uzyskać certyfikat na zgodność z tą normą. Nie wiem od czego zacząć, ani jak stworzyć wymaganą dokumentacje, ponieważ nigdy wcześniej tego nie robiłem. Przebrnąłem przez tekst normy, jednak nie wiem jak mam ją zastosować w praktyce. Czy moglibyście mi coś poradzić lub polecić jakiś poradnik?

Nie ma jednoznacznej odpowiedzi na Twoje pytanie. Klasyczna odpowiedź brzmi: "to zależy". Opisany w tym FAQ proces wdrażania wymagań ISO/IEC 27001 powinien przybliżyć Tobie sposób implementowania standardu w Twojej organizacji oraz jaką kluczową dokumentację powinieneś opracować. Jednakże szczegółowe działania będą odmienne w różnych organizacjach.
Jeżeli Twoja organizacja posiada już opracowaną politykę bezpieczeństwa, warto abyś przejrzał ją pod kątem stosowanych zabezpieczeń i uczynił ją bardziej zgodną z ISO 27002. Być może zabezpieczenia opisane w ISO 27002 będą lepiej ograniczały ryzyko związane z utratą bezpieczeństwa informacji.

Jeżeli Twoja organizacja dopiero przygotowuje się do wdrożenia SZBI, Ty i kierownictwo musicie być świadomi zmian, przed którymi stoi Wasza organizacja oraz nakładów finansowych związanych z wdrożeniem SZBI. Przede wszystkim przygotuj ogólny plan działania, udokumentuj go, skonsultuj go z innymi. Weź pod uwagę wszystkie sugestie, komentarze i uwagi, nie ignoruj ich, gdyż mogą one być cenne. Zadbaj również o stworzenie zespołu, który będzie wspierał i wprowadzał w życie opracowany plan działania.
Dopóki sam nie staniesz się fachowcem w tej dziedzinie możesz posiłkować się pomocą profesjonalistów np. specjalistów w zakresie systemów bezpieczeństwa informacji czy planowania i zarządzania projektami.

Kolejnym krokiem jest zdobycie odpowiedniego budżetu finansowego. Opracowaną strategię wraz z zaproponowanymi inwestycjami będziesz musiał uargumentować. Najlepiej zrobić to poprzez przedstawienie korzyści jakie odniesie organizacja dzięki wdrożeniu SZBI.

 

Jaka jest różnica pomiędzy Deklaracją Stosowania, Planem Postępowania z Ryzykiem oraz Planem Implementacji SZBI?

Deklaracja stosowania jest wykazem zabezpieczeń wymienionych w Załączniku A normy ISO/IEC 27001, które odnoszą się do konkretnego SZBI. Powinna zawierać uzasadnienie wyboru konkretnych zabezpieczeń, bądź rezygnacji z tych, które nie są przydatne w konkretnym SZBI. W przypadku rezygnacji z określonych zabezpieczeń należy to dobrze uzasadnić i być przygotowanym do ewentualnej dyskusji w tym zakresie z audytorami przeprowadzającymi certyfikację. 

Plan Postępowania z Ryzykiem w sposób systematyczny identyfikuje zabezpieczenia, które będą zastosowane do ograniczenia ryzyka zidentyfikowanego w trakcie przeprowadzonej analizy ryzyka. 

Plan Implementacji SZBI, składający się z pojedynczych projektów, określa co i jak należy zrobić - osoby odpowiedzialne, terminy wdrożeń, sposób implementacji. Plan Implementacji SZBI zawiera zaprojektowane zabezpieczenia i metody kontroli, są one opisane w nim tylko jeden raz, podczas gdy Plan Postępowania z Ryzykiem może wielokrotnie odwoływać się do konkretnych zabezpieczeń. 

 

Jak zapewnić, aby w trakcie przeprowadzania analizy ryzyka uwzględnić wszystkie zasoby informacyjne?

Powinieneś rozpocząć od inwentaryzacji wszystkich zasobów informacyjnych, będących w posiadaniu Twojej organizacji. Będą to między innymi bazy danych wszystkich użytkowanych systemów, dane wytworzone i gromadzone przez pracowników, składnice akt itd. Być może w Twojej organizacji istnieje już wykaz zinwentaryzowanych zasobów. Rozpocznij szukanie takiego wykazu w komórce odpowiedzialnej za zapewnienie ciągłości działania, w dziale IT lub dziale finansowym. 

 

Czy proces analizy ryzyka powinien obejmować wszystkie zasoby informacyjne?

Przeprowadzenie szczegółowej analiza ryzyka wymaga dużego nakładu pracy. Możesz rozważyć zastosowanie następującego dwuetapowego procesu: 

1.  Przeprowadzenie ogólnej analizy ryzyka, mającej na celu skategoryzowanie wszystkich zasobów informacyjnych i wyłonienie zasobów krytycznych, dla których przeprowadzona zostanie szczegółowa analizy ryzyka.

2.  Przeprowadzenie szczegółowej analizy ryzyka dla krytycznych zasobów lub grupy powiązanych zasobów w celu określenia specyficznych wymagań dla zabezpieczeń.

Poszczególne etapy procesu analizy ryzyka powinny być dokumentowane np. wybór krytycznych zasobów, decyzje kierownictwa, dotyczące akceptowania ryzyka. Więcej szczegółowych informacji znajduje się w dalszej części tego FAQ. 


Czy zabezpieczenia, które wykorzystujemy obecnie będą wystarczające w celu uzyskania certyfikatu na zgodność z ISO/IEC 27001?

Dopóki Twoja organizacja nie będzie posiadać kompletnych oraz dobrze funkcjonujących w praktyce zabezpieczeń, jest to mało prawdopodobne. Z doświadczenia wynika, że zabezpieczenia, które są aktualnie wykorzystywane przez organizację, są niewystarczające oraz zazwyczaj wymagają udoskonalenia. Zidentyfikowanie oraz wdrożenie koniecznych udoskonaleń jest pierwszym krokiem na drodze ustanawiania SZBI. Proces doskonalenia zabezpieczeń jest częścią systemu zarządzania bezpieczeństwem informacji. 

 

Co powinna zawierać nasza polityka bezpieczeństwa?

Mówiąc wprost, to zależy od Ciebie i od tego jaką masz wizję swojego systemu zarządzania bezpieczeństwem informacji. Zazwyczaj kompletna dokumentacja wchodząca w skład Systemu Zarządzania Bezpieczeństwem opracowywana jest na podstawie struktury ISO/IEC 27002 oraz rozszerzona o inne techniczne standardy (np. wytyczne dotyczące systemów MS Windows 2003 Server). Całościowo polityka bezpieczeństwa, szczególnie w dużych organizacjach, zazwyczaj pokrywa wszystkie cele stosowania zabezpieczeń (jest ich 39) wymienione w ISO/IEC 27002 i odzwierciedla aktualne zamierzenia zarządzającego systemem bezpieczeństwa informacji. 

 

Właśnie rozpoczynamy wdrażanie wymagań ISO/IEC 27001. Którą metodę analizy ryzyka wybrać?

Standard ISO/IEC 27001 nie wskazuje jednoznacznie metody analizy ryzyka, którą należy się posługiwać. ISO/IEC 27001 daje swobodę w wyborze metodyki wykorzystywanej do przeprowadzenia analizy ryzyka. Trudno polecić konkretną metodę lub narzędzia bez dokładnej wiedzy na temat Twojej organizacji takich jak doświadczeń w zakresie analizy ryzyka, zarządzania bezpieczeństwem informacji, rozmiaru, złożoności oraz struktury. Poniżej podajemy niektóre metody, standardy oraz narzędzia wykorzystywane w procesie analizy ryzyka.

● Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'Information Francis.

● CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana.
W chwili obecnej jest własnością Insight Consulting, będącego częścią światowej grupy Siemens.

● OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana.

● CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum.

● ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem.

● AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards.

● HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360.

● NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST.  Jest to darmowe 55 stronnicowe opracowanie. PDF można pobrać tutaj.

● Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI.

● ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji.

Wskazówki dotyczące przeprowadzenia analizy ryzyka na potrzeby systemu zarządzania bezpieczeństwiem informacji można znaleźć w artykule Zarządzanie ryzykiem w bezpieczeństwie informacj.

 

Na potrzeby procesu analizy ryzyka musimy opracować wykaz naszych zasobów informacyjnych. Jakie rzeczy powinny być zawarte na wykazie?

Poniższa lista zasobów informacyjnych bazuje na opracowaniu dostarczonym przez ISO/IEC 27001 implementers' forum. Należy zaznaczyć, że lista ta jest tylko punktem wyjścia w tworzeniu wykazu zasobów informacyjnych i może być niewystarczająca w przypadku Twojej organizacji.

Wykaz podstawowych zasobów informacyjnych: 
● Dane cyfrowe różnego typu, które są przetwarzane w systemach informacyjnych (między innymi w bazach danych, na taśmach backup'owych, na osobistych i współdzielonych nośnikach elektronicznych) np.: osobowe, finansowe, prawne, badawczo-rozwojowe, handlowe, emaile, poczta głosowa, klucze szyfrowania.
● Informacje zapisane na papierze takie jak: dane osobowe, finansowe, prawne, badawczo-rozwojowe, handlowe, listy pocztowe, faksy, mikrofilmy i inne materiały służące do archiwizacji.
● Niematerialne zasoby informacyjne: wiedza, relacje biznesowe, licencje, patenty, znak firmowy, doświadczenie oraz "know-how", wizerunek.

Oprogramowanie: 
● Aplikacje: systemy pisane na zamówienie, systemy ERP, MSI, bazy danych, narzędzia programistyczne, programy współdzielone, programy jednostanowiskowe itd.
●Systemy operacyjne: systemy operacyjne serwerów, stacji roboczych, urządzeń sieciowych, urządzeń przenośnych.

Fizyczne zasoby IT: 
● Infrastruktura wspierająca IT: budynki IT, centra przetwarzania danych, serwerownie, szafki krosownicze, biura, urządzenia kontroli dostępu, telewizja przemysłowa itd.
● Systemy wspomagające: systemy sygnalizacji pożaru, systemy gaszenia pożaru, systemy podtrzymywania zasilania, sieci zasilające, systemy klimatyzacyjne, systemy sygnalizacji zalania itd.
● Sprzęt IT: urządzenia przetwarzające oraz magazynujące dane np.: stacje robocze, notebook'i, serwery, mainframe'y, modemy, drukarki, kserokopiarki, faksy itd.
Usługi oraz składniki usług IT: uwierzytelnianie użytkowników, firewall'e, serwery Proxy, urządzenia sieciowe, sieci bezprzewodowe, systemy anty-spamowe/antywirusowe, systemy IDS/IPS, systemy do pracy zdalnej, FTP, email, usługi www.

Zasoby ludzkie: 
● Pracownicy stali: szeregowi pracownicy oraz kadra kierownicza.
● Pracownicy zewnętrzni i tymczasowi: praktykanci, konsultanci, partnerzy biznesowi.

 

W jaki sposób moja organizacja może uzyskać certyfikat na zgodność z ISO/IEC 27002?

Nie jest to możliwe, ponieważ żadna organizacja nie certyfikuje się na zgodność z ISO/IEC 27002. ISO/IEC 27001 jest zbiorem dobrych praktyk i zawiera praktyczne wytyczne, a nie wymagania. Standardem, na zgodność z którym organizacje mogą uzyskać certyfikat jest ISO/IEC 27001. 

 

W jaki sposób moja organizacja może uzyskać certyfikat na zgodność z ISO/IEC 27001?

Zacznij od zdobycia i przeczytania standardu. Radzimy, abyś przeczytał ISO/IEC 27001 (standard na zgodność z którym można się certyfikować - zawiera wymagania dla systemów zarządzania bezpieczeństwem informacji) oraz ISO/IEC 27002 (standard zawiera wykaz i opis praktycznych zabezpieczeń). ISO/IEC 27002 zawiera wykaz 39 celi stosowania zabezpieczeń oraz obszerny zbiór zabezpieczeń. Można powiedzieć, że ISO/IEC 27002 to swoiste "menu" z zabezpieczeniami, z którego możesz wybrać te, których potrzebuje Twoja organizacja (podstawą do wyboru zabezpieczeń są wyniki uzyskane w procesie analizy ryzyka). Następnie powinieneś zaplanować i przeprowadzić proces analizy ryzyka, o którym wspomnieliśmy powyżej. Analizę ryzyka można potocznie nazwać "analizą luk" systemu bezpieczeństwa. Kiedy przeprowadzisz analizę ryzyka musisz uświadomić swojemu kierownictwu potrzebę inwestowania w bezpieczeństwo informacji, podpierając się wynikami przeprowadzonej analizy ryzyka. W ten sposób możesz zdobyć środki na sfinansowanie projektu. Jeśli uda się Tobie zdobyć środki następnym etapem jest wdrożenie/ulepszanie systemu zarządzania bezpieczeństwem. Trudno powiedzieć jak długo trwa lub jak kosztowny jest ten etap. Jeśli Twój system zarządzania bezpieczeństwem informacji będzie wdrożony i stanie się nieodłączną częścią codziennej działalności biznesowej możesz zacząć myśleć o certyfikacji, w trakcie której Twój system zarządzania bezpieczeństwem informacji zostanie poddany przeglądowi oraz ocenie. 

 

Kto może certyfikować moją organizację na zgodność z ISO/IEC 27001?

Dowolna akredytowana organizacja, zajmująca się certyfikowaniem może przeprowadzić audyt certyfikacyjny i przyznać certyfikat świadczący o zgodności z wymaganiami ISO/IEC 27001. Określenie "akredytowana" stosuje się w przypadku tych organizacji certyfikujących, których kompetencje w zakresie przeprowadzania certyfikacji zostały potwierdzone. Przykładowe jednoski certyfikacyjne przeprowadzające akredytowane certyfikacje na terenie Polski (kolejność alfabetyczna): BSI, DNV, ISOQAR, KEMA, TUV Nord, SGS Group. Przed podjęciem decyzji o wyborze jednostki certyfikacyjnej warto także zapoznać się z jej dotychczasowymi doświadczeniami w zakresie certyfikacji SZBI w Polsce, a także z referencjami branżowymi. Szczegółowe informacje na ten temat przedstawione są na stronie rejestru certyfikatów.

Wydana w połowie lutego 2007 ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems określa wymagania jakie muszą spełniać  jednostki przeprowadzające audyty certyfikacyjne systemów zarządzania bezpieczeństwem informacji. 

 

Jak przebiega proces certyfikacji?

Certyfikacja na zgodność z ISO/IEC 27001 jest podobna do certyfikacji innych systemów zarządzania np.: ISO 9000. Polega ona na przeprowadzeniu zewnętrznego audytu Systemu Zarządzania Bezpieczeństwem Informacji. Certyfikację przeprowadza się etapami. Wyróżnia się następujące etapy: 

Etap 1
Czas trwania tego etapu to od jednego do trzech dni audytu u klienta.

W trakcie tego etapu dokonywana jest ocena dokumentacji SZBI:
● formalne sprawdzenie wymaganej dokumentacji i jej pokrycia z wymaganiami
● procedury operacyjne/instrukcje pracy
● zastosowanie zapisów dla wybranych zabezpieczeń
● dostępność dokumentacji
● zarządzanie dokumentacją (nadzór)
● szczegółowy przegląd treści wybranej próbki dokumentacji

Etap 2
Czas trwania tego etapu uzależniony jest od ilość dni spędzonych na miejscu u klienta, zgodnie z wytycznymi EA7-3 i ISO/IEC Guide 62.

W trakcie tego etapu przeprowadza się:
● Wywiady dotyczące funkcjonowania systemu zarządzania w praktyce, obejmujące:
   ○ wyniki audytów wewnętrznych
   ○ wyniki przeglądu zarządzania
   ○ informacje zwrotne z działań korygujących i zapobiegawczych
   ○ identyfikację nowych ryzyk i ponowną ocenę ryzyk wcześniej zidentyfikowanych
● Ocenę wdrożenia i skuteczności wybranych zabezpieczeń

Etap 3
Etap 3 dotyczy:

● sporządzenia raportów z audytów
● weryfikacji raportów i pozostałej dokumentacji

● zakres oceny
● kwalifikacje audytora
● kalkulacja
● ocena kompletność

● podjęcia decyzji o rekomendowaniu do przyznania certyfikatu
● wręczenia lub przekazanie certyfikatu

Uzyskany certyfikat na zgodność z ISO/IEC 27001 jest ważny przez 3 lata. W okresie tym przeprowadza się audyty nadzoru (czasookres audytów nadzoru uzależniony jest od wymagań akredytacji - zazwyczaj audyty nadzoru realizowane są co 6. lub 12. miesięcy). Po upływie 3 lat przeprowadza się audyt wznawiający (tzw. recertyfikację), mający na celu odnowienie certyfikatu. 


Jak możemy potwierdzić, że wybrane przez nas zabezpieczenia (opisane w Deklaracji Stosowania) są prawidłowo zaimplementowane?

W momencie przeprowadzania audytu, audytorzy będą sprawdzali działanie zaimplementowanych zabezpieczeń w praktyce. Kluczowe są dowody potwierdzające funkcjonowanie wdrożonych zabezpieczeń (np. różne zapisy generowane w trakcie postępowania według określonej procedury).  Warto np. posiadać dokumentację związaną z obsługą jakiegoś incydentu, który miał miejsce w Twojej organizacji. Jeśli takowy incydent nie zdarzył się, warto np. przeprowadzić testy działania planów DRP w praktyce i udokumentować je.

Aktualności

Niebezpieczne (smart) telewizory

Wiele współczesnych telewizorów jest połą...

Więcej...

Zagrożenie phishingowe dla użytkowników produktów Apple

Eksperci z Kaspersky Lab Polska poinformowali, że cały ...

Więcej...

Wykryto poważną lukę w USB

Niemieccy specjaliści poinformowali o odkryciu poważnej ...

Więcej...

Newsletter
Sondaż

Czy w Państwa organizacji wdrożony jest plan ciągłości działania?

---reklama---