Rejestr certyfikatów ISO/IEC 20000, ISO/IEC 27001 oraz ISO 22301 przyznanych organizacjom w Polsce

Wprowadzenie
Rejestr
Wyszukiwanie

Standardy bezpieczeństwa informacji, jakości usług informatycznych, ciągłości działania 

 

ISO/IEC 27001:2005

ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission). Polski Komitet Normalizacyjny wydał krajowy odpowiednik standardu: PN-ISO/IEC 27001:2007.

Norma określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI, ang. ISMS – Information Security Management System) oraz 11 obszarów mechanizmów kontrolnych obejmujących:

● politykę bezpieczeństwa

● organizację bezpieczeństwa

● zarządzanie aktywami

● bezpieczeństwo zasobów ludzkich

● bezpieczeństwo fizyczne i środowiskowe

● zarządzanie systemami i sieciami

● kontrolę dostępu

● pozyskiwanie, rozwój i utrzymanie systemów informatycznych

● zarządzanie incydentami bezpieczeństwa

● zarządzanie ciągłością działania

● zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi


Powyższy standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym.

 

ISO/IEC 20000:2011

Norma ISO/IEC 20000 wydana w 2011 roku definiuje wymagania do budowy systemów zarządzania usługami IT. Standard określa procesy, których zdefiniowanie i wdrożenie w organizacji pozwala na kompleksowe uregulowanie obszaru IT — zarządzanie infrastrukturą informatyczną – poprzez zarządzanie użytkownikami, sprzętem, oprogramowaniem, personelem IT oraz kwestią rozliczeń finansowych. Norma definiuje zbiór najważniejszych procesów zarządzania usługami IT, związanych m.in. z:

● zarządzaniem i raportowaniem poziomu usług

● zarządzaniem dostępnością, pojemnością oraz ciągłością działania

● zarządzaniem bezpieczeństwem informacji

● budżetowaniem i rozliczaniem kosztów usług IT

● zarządzaniem konfiguracją, zmianą i wersją

● zarządzaniem relacjami z otoczeniem (klienci / poddostawcy)

● zarządzaniem incydentami i problemami


Norma ISO 20000 to pierwsza międzynarodowa norma w powyższym zakresie. Zbudowano ją w oparciu o bibliotekę ITIL, która jest zbiorem najlepszych praktyk – wytycznych zarządzania usługami IT. W efekcie, standard ISO/IEC 20000 jest idealnym dokumentem odniesienia do budowy systemu zarządzania jakością usług informatycznych i doskonale uzupełnia wymagania ISO 9001, pozwalając na w pełni procesowe zarządzanie infrastrukturą informatyczną.

 

ISO 22301:2012

ISO 22301 jest standardem w zakresie zarządzania ciągłością działania (ang. BCM – Business Continuity Management), który powstał na podstawie BS 25999:2006 – brytyjskiej normy w tym obszarze. Standard ISO 22301 określa wymagania dla certyfikacji systemu zarządzania ciągłością działania. Efektem spełnienia wymagań tego standardu jest system zarządzania – udokumentowany zestaw procedur, planów i instrukcji, pozwalający organizacji na utrzymanie określonej odporności na negatywne zdarzenia. ISO 22301:2012 reguluje następujące obszary:
 

● polityka i cele zarządzania ciągłością działania

● proces zarządzania ciągłością zapewniający systemowe podejście

● analiza działalności przez pryzmat ryzyka

● strategia zarządzania ciągłością działania będąca odpowiedzią na istniejące ryzyka

● opracowanie i wdrożenie środków ochrony (m.in. BCP, DRP) wynikające z realizacji strategii

● testowanie, zarządzanie i przegląd technicznych oraz organizacyjnych środków ochrony (przede wszystkim planów awaryjnych)

● budowa świadomości pracowników i podmiotów współpracujących


Standard ISO 22301 przychodzi z pomocą w zbudowaniu organizacji odpornej na ryzyka utraty zdolności funkcjonowania. Umożliwia zmodyfikowanie sposobu zarządzania organizacją uwzględniając zarówno krytyczność procesów, jak i wymagania klientów w odniesieniu do niezawodności. Dzięki odpowiednim procedurom pozwala skutecznie reagować na sytuacje kryzysowe oraz podejmować decyzję z uwzględnieniem wiedzy o ryzykach utraty ciągłości. Zdolność zapewnienia ciągłości funkcjonowania niezależnie od zachodzących zdarzeń jest jednym z najistotniejszych elementów przewagi konkurencyjnej i budowania silnej marki.

Aktualności

Niebezpieczne (smart) telewizory

Wiele współczesnych telewizorów jest połą...

Więcej...

Zagrożenie phishingowe dla użytkowników produktów Apple

Eksperci z Kaspersky Lab Polska poinformowali, że cały ...

Więcej...

Wykryto poważną lukę w USB

Niemieccy specjaliści poinformowali o odkryciu poważnej ...

Więcej...

Newsletter
Sondaż

Czy wykorzystują Państwo specjalistyczne oprogramowanie do prowadzenia analizy ryzyka?

---reklama---