Zawartość

Terminologia systemów zarządzania bezpieczeństwem informacji (PN-ISO/IEC 27000)

2012-10-17

W dniu 28-08-2012 została opublikowana norma PN-ISO/IEC 27000 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia. Norma - tłumaczenie bez jakichkolwiek zmian Normy Międzynarodowej (ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary)- jest jednym z ważnych dokumentów porządkujących, wyjaśniających, doradczych i wprowadzających do Systemu zarządzania bezpieczeństwem informacji (SZBI) należącym do szeregu norm niżej wymienionych:

  • PN-ISO/IEC 27001:2007, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania
  • ISO/IEC 27002:2007, Code of practice for information security management
  • ISO/IEC 27003:2010, Information security management system implementation guidance
  • ISO/IEC 27004:2009, Information security management - Measurement
  • PN-ISO/IEC 27005:2010, Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie
  • PN-ISO/IEC 27006:2009, Technika informatyczna - Techniki bezpieczeństwa - Wymagania dla jednostek prowadzących audit i certyfikację systemów zarządzania bezpieczeństwem informacji
  • ISO/IEC 27007:2011, Guidelines for information security management systems auditing
  • ISO/IEC 27011:2008, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO 27799:2008, Health informatics - Information security management inhealth using ISO/IEC 27002.

Norma PN-ISO/IEC 27000 może być stosowana we wszystkich typach organizacji np. przedsiębiorstwach komercyjnych, agencjach rządowych, instytucjach charytatywnych.

Zamieszczono w niej:

a)    przegląd rodziny norm SZBI;

b)    wprowadzenie do systemów zarządzania bezpieczeństwem informacji (SZBI);

c)    opis procesu „Planuj – Wykonuj – Sprawdzaj – Działaj”(PDCA);

d)    terminy i definicje używane w rodzinie norm SZBI (zdefiniowano 46 terminów).

            Wykaz norm z rodziny SZBI i relacje pomiędzy nimi najlepiej ukazuje rysunek nr 1 zamieszczony w normie:

27000_przeglad_i_terminologia.jpg

Norma zawiera podstawowe informacje pozwalające na rozumienie SZBI. Wymieniono w niej  również fundamentalne zasady, które przyczyniają się do udanego wdrożenia SZBI.

W normie zaznaczono, że podejście procesowe do SZBI prezentowane w rodzinie norm SZBI bazuje na wykorzystaniu zasad adaptowanych w standardach systemów zarządzania ISO, znanych jako proces „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA). Natomiast sformułowanie definicji terminów ma ułatwić posługiwanie się tym samym językiem w obszarze SZBI. W załączniku B do normy podano wykazy zdefiniowanych terminów w grupach terminów związanych z bezpieczeństwem informacji, z zarządzaniem i z dokumentami.

Więcej informacji w miesięczniku Wiadomości PKN 9/2012