Wymogi norm ISO seria 27000

http://www.mf.gov.pl/c/document_library/get_file?uuid=e3607969-79d0-46c5-8e82-85e27331d5a3

Normy ISO rodziny 27k

• 27000 – Information Security Management System (SZBI) –

overview and vocabulary – SZBI podstawy i terminologia

• ISO/IEC 27001:2005 = PN ISO/IEC 27001:2007 - ISMS

requirements – SZBI wymogi – charakter normatywny

• ISO/IEC 27002 = PN-ISO/IEC 17799:2007 –Praktyczne zasady

zarządzania bezpieczeństwem informacji – zalecenia

• ISO 27003 – SZBI implementation guidance – SZBI wytyczne

wdrożenia

• ISO 27004 - SZBI measurement – SZBI pomiar

Normy ISO rodziny 27k

• ISO/IEC 27005:2008 Information Security Risk Management = PNISO/IEC

27005:2010 Technika informatyczna -- Techniki

bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie

informacji

• ISO/IEC 27006:2007 = PN ISO/IEC 27006:2009 – Wymagania dla

jednostek prowadzących audyt i certyfikację SZBI

• ISO 27007 – Wytyczne dla audytorów SZBI

• ISO/IEC 27011 – Wytyczne bazujące na 27001 do zarządzania BI dla

sektora telekomunikacji

• ISO/IEC 27033-1 – Bezpieczeństwo sieci – Podstawy i pojęcia

• PN-EN ISO 27799:2010 – Informatyka w ochronie zdrowia --

Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z

wykorzystaniem ISO/IEC 27002

ISO/IEC 27007 - Guidelines for information security management systems Audyting (focused

on the management system)

• ISO/IEC 27008 - Guidance for Auditors on SZBI controls (focused on the information security

controls)

• ISO/IEC 27013 - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC

27001

• ISO/IEC 27014 - Information security governance framework

• ISO/IEC 27015 - Information security management guidelines for the finance and insurance

sectors

• ISO/IEC 27031 - Guideline for ICT readiness for business continuity (essentially the ICT

continuity component within business continuity management)

• ISO/IEC 27032 - Guideline for cybersecurity (essentially, 'being a good neighbor' on the

Internet)

• ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part

1 is published already)

• ISO/IEC 27034 - Guideline for application security

• ISO/IEC 27035 - Security incident management

• ISO/IEC 27036 - Guidelines for security of outsourcing

• ISO/IEC 27037 - Guidelines for identification, collection and/or acquisition and preservation

of digital evidence

ISO 27001 opisuje system ochrony informacji, który zapewnia: 

Samoulepszalność systemu - (pętla Deminga z pomiarem skuteczności zabezpieczeń) 

Kompletność ochrony – (133 punkty kontrolne zabezpieczeń w 39 obszarach i w 11 rozdziałach) 

Adekwatność biznesowa – (Zarządzanie Ryzykiem z metodami szacowania i kryteriami akceptowania)

Kilka uwag na temat kompletności

• Kompletność podejścia oznacza zajęcie się całą

organizacją i wszystkimi procesami przetwarzania

informacji.

• Kompletność jest zasadniczym elementem, gdyż

aktywa informacyjne są na tyle bezpieczne na ile

jest najsłabsze zabezpieczenie.

• Tylko poprawna inicjalizacja projektu przez Zarząd

może zagwarantować, że zabezpieczenia obejmą

całość organizacji.