SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007
-
Upload
sophia-rosales -
Category
Documents
-
view
41 -
download
0
description
Transcript of SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007
![Page 1: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/1.jpg)
SYSTEM SYSTEM ZARZĄDZANIA ZARZĄDZANIA
BEZPIECZEŃSTWEM BEZPIECZEŃSTWEM INFORMACJI- INFORMACJI-
wymagania normy wymagania normy ISO 27001:2007 ISO 27001:2007
Grażyna SzydłowskaGrażyna Szydłowska
![Page 2: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/2.jpg)
INFORMACJA NABIERA CORAZ WIĘKSZEGO ZNACZENIA
W PORÓWNANIU DO POZOSTAŁYCH, MATERIALNYCH SKŁADNIKÓW MAJATKU FIRMY
PN ISO/IEC 27001:2007 Technika informatyczna
- Techniki bezpieczeństwa
- Techniki zarządzania bezpieczeństwem informacji - Wymagania PN- EN ISO/IEC 17799:2003 Praktyczne Zasady Zarządzania Bezpieczeństwem Informacji
Information Security Management System ISMS
![Page 3: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/3.jpg)
Bezpieczeństwo wg ISO IEC 27001:2005
Zarządzamy bezpieczeństwem informacji w trzech obszarach:
• poufność• integralność• dostępność
![Page 4: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/4.jpg)
BUDOWA NORMY ISO IEC 27001 Wprowadzenie
1. Zakres normy
2. Powołania
3. Terminy i definicje
4. System zarządzania bezpieczeństwem informacji
5. Odpowiedzialność kierownictwa
6. Wewnętrzne audity ISMS
7. Przegląd zarządzania ISMS
8. Doskonalenie ISMS
Załącznik A Cele zabezpieczeń i zabezpieczenia
![Page 5: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/5.jpg)
NORMA ISO IEC 27001:2005
PLANUJPLANUJustanowienie ISMS
SPRAWDZAJSPRAWDZAJ pomiary
i przeglądy ISMS
DZIAŁAJDZIAŁAJ utrzymanie
i doskonalenie ISMS
WPROWADŹWPROWADŹ wdrożenie
i utrzymywanie ISMS
Wymagania
i oczekiwania
dla bezpieczeństwa
informacji
bezpieczeństwo
informacji
![Page 6: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/6.jpg)
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2 Ustanowienie i zarządzanie ISMS
4.2.1 Ustanowienie ISMS
Cele i zakres
Polityka SZMS
Analiza ryzyka
Deklaracja stosowania
Zgoda kierownictwa
![Page 7: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/7.jpg)
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2.2 Wdrożenie i funkcjonowanie ISMS
Obsługa zdarzeń
Postępowanie z ryzykiem
Uświadomienie i szkolenia
Zarządzanie zasobami
![Page 8: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/8.jpg)
P 4. System Zarządzania Bezpieczeństwem Informacji
4.2.3 Monitorowanie i przeglądy ISMS
Monitorowanieprocedury
Regularneprzeglądy
Audyty
Weryfikacja skuteczności
Analiza ryzyka
![Page 9: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/9.jpg)
P 4. System Zarządzania Bezpieczeństwem Informacji
4.3 Wymagania dot. dokumentacji
Polityka i cele
Deklaracja stosowania
Objęty zakres
Procedury zabezpieczenia
i zapisy
Plan postępowania z ryzykiem
Opis analizy ryzyka
![Page 10: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/10.jpg)
Analiza ryzyka
Analizy ryzyka nie przeprowadza się tylko raz
dlaczego?
Wymagane jest jej okresowe ponawianie celem sprawdzenia:
• czy nie nastąpiły zmiany w naszej działalności• czy nie nastąpiły zmiany priorytetów• czy katalog zasobów jest aktualny• czy katalog zagrożeń jest aktualny• czy stosowane zabezpieczenia są ciągle skuteczne i efektywne
![Page 11: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/11.jpg)
P 5. Odpowiedzialność kierownictwa
5.1 Zaangażowanie kierownictwa
a) Ustanowienie polityki bezpieczeństwa informacji
b) Zapewnienie, że cele i plany bezpieczeństwa informacji są ustanowione
c) Ustalenie zadań i odpowiedzialności dla bezpieczeństwa informacji
d) Zakomunikowanie wagi spełnienia wypełnienia celów zgodnych z polityką bezpieczeństwa informacji
e) Zapewnienia niezbędnych zasobów
f) Zatwierdzenie akceptowalnego poziomu ryzyka
g) Przeprowadzenie przeglądów zarządzania
![Page 12: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/12.jpg)
P 5. Odpowiedzialność kierownictwa 5.2 Zarządzanie zasobami 5.2.1 Dostępność zasobów. Zapewnienie zasobów do: a) ustanowienia, wdrożenia, funkcjonowania i doskonalenia
b) weryfikacji czy procedury bezpieczeństwa informacji wspierają wymagania biznesowe
c) spełnienia wymogów prawnych
d) utrzymanie odpowiedniego poziomu bezpieczeństwa przez zastosowanie wdrożonych zabezpieczeń
e) prowadzanie przeglądów ISMS
f) gdy potrzeba – podnoszenia skuteczności systemu
![Page 13: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/13.jpg)
P 5. Odpowiedzialność kierownictwa 5.2.2 Szkolenie, uświadomienie i kompetencje
Określenie kompetencji
Szkolenie i ich ocena
Zapisy dot. kwalifikacji …
![Page 14: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/14.jpg)
P 6. Wewnętrzne audity ISMS
Wewnętrzne audity ISMS
Ocena spełnienia wymagań prawnych
Niezależneprzeglądy
zewnętrzne
Ocena spełnienia wymagań ISMS
Ocena funkcjonowania
ISMS
![Page 15: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/15.jpg)
Dane wejściowe
P 7. Przeglądy ISMS
Przeglądy funkcjonowania ISMBNp.:- nowe procedury- postępowanie z ryzykiem- uzupełnienie zasobów- ulepszenie w ISMB
Przegląd ISMS
Dane wejścioweNp.:- wyniki auditów- analiza ryzyka- nowe technologie- nowe zagrożenia
![Page 16: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/16.jpg)
P 8. Doskonalenie ISMS
Np.:• zagrożenia• wyniki przeglądów
Funkcjonujący ISMS
DZIAŁANIA
ZAPOBIEGAWCZE
DZIAŁANIA
KORYGUJĄCE
![Page 17: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007](https://reader036.fdocuments.pl/reader036/viewer/2022082817/56812c29550346895d90a00a/html5/thumbnails/17.jpg)
Załącznik A do normy ISO IEC 27001
5. polityka bezpieczeństwa informacji
6. Organizacja bezpieczeństwa informacji
7. Zarządzanie aktywami
8. Bezpieczeństwo osobowe
9. Bezpieczeństwo fizyczne i środowiskowe
10. Zarządzanie działalnością oraz komunikacją
11. Kontrola dostępu
12. Zbieranie danych, rozwój oraz utrzymanie systemu
13. Zarządzanie incydentami bezpieczeństwa informacji
14. Zarządzanie ciągłością działania
15. Zgodność