Poradnik 12 bezpieczeństwo informacji w iso 27001 demo

Poradnik nr 12

Bezpieczeństwo informacji wg ISO 27001

Poradnik dla Pełnomocników systemu zarządzania

bezpieczeństwem informacji.

Seria: „Poradniki dla Pełnomocnika”

Warszawa 2013

Wstęp

2

Właściciel: Wersja demonstracyjna, pobrana z http://www.e-doskonalenie.pl

Copyright by Centrum Doskonalenia Zarządzania MERITUM Sp. z o.o.,

Warszawa 2013, wydanie I

Wszelkie prawa zastrzeżone. Żadna część niniejszego podręcznika nie może być zwielokrotniana jakąkolwiek techniką.

Centrum Doskonalenia Zarządzania MERITUM Sp. z o.o.

ul. Zamkowa 2/5, 03-890 Warszawa,

http://www.centrum-doskonalenia.pl

Wstęp

3


Spis treści

1. Wstęp....................................................................................................................................................................... 5

2. Decyzja o wdrożeniu systemu zarządzania bezpieczeństwem informacji ............................................................... 8

2.1. Przedstawiciel kierownictwa.................................................................................................................................... 8

3. Wymagania ogólne systemu Zarządzania Bezpieczeństwem Informacji .............................................................. 10

3.1. Ustanowienie projektu ........................................................................................................................................... 10

3.1.1. Zakres systemu (PN-ISO/IEC 27001:2007, 4.2.1 a) ................................................................................... 10

3.1.2. Polityka Bezpieczeństwa (PN-ISO/IEC 27001:2007, 4.2.1 b) ..................................................................... 10

3.1.3. Szacowanie ryzyka (PN-ISO/IEC 27001:2007, 4.2.1 c, d) .......................................................................... 13

3.1.4. Deklaracja Stosowania (PN-ISO/IEC 27001:2007, 4.2.1 j) ......................................................................... 16

3.2. Wdrożenie i eksploatacja (PN-ISO/IEC 27001:2007, 4.2.2) ................................................................................. 17

3.2.1. Ustalić plan postępowania z ryzykiem ......................................................................................................... 18

3.2.2. Zdefiniować sposób mierzenia skuteczność wybranych zabezpieczeń i grup ............................................ 18

3.2.3. Wdrożyć programy uświadamiania i szkolenia ............................................................................................ 18

3.2.4. Wdrożyć procedury i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa ...................................................................................................... 19

3.3. Monitorowanie i przegląd (PN-ISO/IEC 27001:2007, 4.2.3) ................................................................................. 19

3.3.1. Pomiar skuteczności zabezpieczeń ............................................................................................................ 20

3.4. Utrzymanie i doskonalenie (PN-ISO/IEC 27001:2007, 4.2.4) ............................................................................... 21

3.4.1. Działania korygujące ................................................................................................................................... 21

3.4.2. Działania zapobiegawcze ............................................................................................................................ 22

4. Opracowanie dokumentacji systemu Zarządzania Bezpieczeństwem Informacji (PN-ISO/IEC 27001:2007, 4.3) 24

4.1. Księga procedur bezpieczeństwa ......................................................................................................................... 24

4.1.1. Określenie odpowiedzialności ..................................................................................................................... 24

4.1.2. Polityka kontroli dostępu ............................................................................................................................. 26

4.1.3. Zasady nadawania uprawnień użytkowników.............................................................................................. 26

4.1.4. Zasady i korzystanie z haseł w systemach informatycznych....................................................................... 26

4.1.5. Zasady korzystania z systemów informatycznych ....................................................................................... 27

4.1.5.1. Oprogramowanie ......................................................................................................................................... 27

4.1.5.2. Poczta elektroniczna ................................................................................................................................... 27

4.1.5.3. Zasady pracy na odległość .......................................................................................................................... 27

4.1.5.4. Okresowa kontrola praw dostępu ................................................................................................................ 28

4.1.5.5. Eksploatacja systemów i sieci ..................................................................................................................... 28

4.1.5.6. Konta pocztowe ........................................................................................................................................... 29

4.1.5.7. Zarządzanie wymiennymi nośnikami ........................................................................................................... 29

4.1.5.8. Kopie zapasowe .......................................................................................................................................... 30

4.1.6. Polityka postępowania z informacją ............................................................................................................ 30

4.1.7. Polityka czystego biurka i czystego ekranu ................................................................................................. 32

4.1.8. Zarządzanie incydentami ............................................................................................................................ 33

4.1.9. Zgodność z przepisami prawa ..................................................................................................................... 34

4.2. Nadzór nad dokumentami ..................................................................................................................................... 34

4.3. Nadzór nad zapisami ............................................................................................................................................ 35

5. Odpowiedzialność kierownictwa ............................................................................................................................ 36

5.1. Zaangażowanie kierownictwa ............................................................................................................................... 36

5.2. Zarządzanie zasobami .......................................................................................................................................... 36

5.3. Kompetencje personelu ........................................................................................................................................ 36

6. Audyty wewnętrzne................................................................................................................................................ 37

7. Przeglądy SZBI realizowane przez kierownictwo .................................................................................................. 43

8. Doskonalenie systemu Zarządzania bezpieczeństwem Informacji ........................................................................ 46

8.1. Doskonalenie ........................................................................................................................................................ 46

8.2. Działania korygujące ............................................................................................................................................. 46

8.3. Działania zapobiegawcze...................................................................................................................................... 46

9. Ciągłość działania .................................................................................................................................................. 47

10. Wdrożenie zabezpieczeń....................................................................................................................................... 48

10.1. Załącznik A do normy – Cele stosowania zabezpieczeń i zabezpieczenia.......................................................... 48

A.5 Polityka bezpieczeństwa ....................................................................................................................................... 48

A.6 Organizacja bezpieczeństwa informacji ................................................................................................................ 49

Wstęp

4


A.7 Zarządzanie aktywami .......................................................................................................................................... 51

A.8 Bezpieczeństwo osobowe ............................................................................................................................................. 52

A.9 Bezpieczeństwo fizyczne i środowiskowe ..................................................................................................................... 54

A.10 Zarządzanie systemami i sieciami .............................................................................................................................. 56

A.11 Kontrola dostępu ......................................................................................................................................................... 61

A.12 Pozyskanie, rozwój i utrzymanie systemów informacyjnych ...................................................................................... 64

A.13 Zarządzanie incydentami bezpieczeństwa .................................................................................................................. 66

A.14 Zarządzanie ciągłością działania ................................................................................................................................ 67

A.15 Zgodność ................................................................................................................................................................... 68

10.2. Rodzaje zabezpieczeń .......................................................................................................................................... 70

10.2.1. Zabezpieczenia lokalizacyjne ...................................................................................................................... 70

10.2.2. Zabezpieczenia sprzętowe: ......................................................................................................................... 70

10.2.3. Zabezpieczenia programowe ...................................................................................................................... 70

10.2.4. Architektura sieci lokalnej LAN .................................................................................................................... 71

10.2.5. Archiwizacja danych .................................................................................................................................... 71

10.2.6. Kontrola dostępu do systemu ...................................................................................................................... 71

10.3. Przykładowe zagrożenia ....................................................................................................................................... 71

11. Certyfikacja ............................................................................................................................................................ 73

12. Biografia................................................................................................................................................................. 74

Wstęp

5


1. Wstęp

Coraz więcej firm zaczyna zwracać uwagę na bezpieczeństwo swoich informacji. Stały się one bowiem aktywem dzięki któremu firmy mają większe możliwości rozwoju działalności. Informacjami takimi są opracowane technologie (ochrona technologii przed konkurencją), wynalazki (patenty) lub opracowane bazy danych (dostęp do wyselekcjonowanego potencjalnego klienta).

Wiele organizacji posiada instrumenty pozwalające na kontrolę posiadanych informacji. Bywa jednak, że są to często działania nieuporządkowane i chaotyczne.

Aby wspomóc przedsiębiorstwa we wprowadzeniu w organizacji zasad związanych z bezpieczeństwem informacji lub wspomóc w uporządkowaniu działań związanych z bezpieczeństwem przedstawiamy Państwu normę PN-ISO/IEC 27001:2007. Norma przedstawia procesowe podejście do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu Zarządzania Bezpieczeństwem Informacji.

Standard ISO/EIC 27001 podpowiada organizmom co zrobić aby procesy odpowiedzialne za zarządzanie bezpieczeństwem informacji :

- były uwzględnione w Systemach zarządzania organizacją, - systematycznie analizowały ryzyka związane

z bezpieczeństwem informacji, - były spójne dla całej organizacji.

Początki standardu systemu Zarządzania Bezpieczeństwem

Informacji miały miejsce w Wielkiej Brytanii. British Standards

Institution (BSI) – najstarsza na świecie organizacja zajmująca się tworzeniem norm w 1995 roku wydala pierwszą z trzyczęściowej normę

- BS 7799-1 - standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji;

w 1998 roku została opublikowana druga część normy - BS 7799-2 - standardowa specyfikacja dla Systemów

zarządzania bezpieczeństwem informacji – pierwsza norma umożliwiająca certyfikację;

ostatnią część opublikowano w 2005 roku - BS 7799-3 - dotyczy ona zagadnień związanych z analizą i zarządzaniem ryzykiem bezpieczeństwa

informacji, również w ujęciu ryzyka biznesowego.

Na podstawie normy serii BS 7799 międzynarodowa organizacja standaryzująca ISO (International Organization for Standardization) opracowała normy międzynarodowe.

- ISO/IEC 17799 – zawierająca zbiór Praktycznych zasad zarządzania bezpieczeństwem informacji. Nie jest to norma podlegająca certyfikacji.

- PN ISO/IEC 17799 – 2003 - ISO/IEC 27001 – 2005 - zastępuje BS 7799-2, umożliwia organizacjom uzyskanie certyfikatu - ISO/IEC 17799 – 2005 - PN ISO/IEC 27001:2007

- PN ISO/IEC 17799:2007 (obecnie ISO 27002)

Wstęp

6


Obecnie do rodziny ISO 2700x należy osiem norm: - ISO 27000 – słownictwo i terminologia (definicje dla wszystkich standardów z tej serii). - Podaje definicje

i pojęcia używane w całej serii norm 27000,

- ISO 27001 – specyfikacja Systemów zarządzania bezpieczeństwem informacji, odpowiednik BS 7799 część 2, (możliwa certyfikacja). - Norma międzynarodowa standaryzująca Systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005r. na podstawie brytyjskiego standardu BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005 czyli polską wersję brytyjskiego standardu BS 7799-2,

- ISO 27002 – odpowiednik ISO 17799:2005, praktyczne zasady zarządzania bezpieczeństwem, zestawia zabezpieczenia i najlepsze praktyki. - W tej normie zawarty jest zbiór porad i tak zwanych „dobrych praktyk” dotyczących zarządzania bezpieczeństwem i wyboru zabezpieczeń,

- ISO 27003 – wytyczne dla implementacji. - Norma ISO 27003 zawiera wszystkie niezbędne wytyczne dotyczące wdrożenia normy ISO 27001,

- ISO 27004 – Zarządzanie bezpieczeństwem informacji – wskaźniki i pomiary. - Standardy dotyczące sposobu oceny skuteczności zabezpieczeń - zawiera podpowiedzi w jaki sposób konstruować mierniki i jak powinien wyglądać poprawnie zbudowany miernik,

- ISO 27005 – Zarządzanie ryzykiem bezpieczeństwa informacji, ISO 27005 zastępuje BS 7799 Część 3. - Wytyczne w zakresie zarządzania ryzykiem. Zawiera wskazówki pomagające opracować metodyką analizy ryzyka, dopasowaną do potrzeb organizacji,

- ISO 27006 – Wytyczne jednostek akredytujących dla jednostek certyfikujących, jak audytować SZBI. - Ta norma przeznaczona jest dla jednostek certyfikujących, wskazuje w jaki sposób należy audytować SZBI, a w szczególności zabezpieczenia z Załącznika A,

- ISO 27007 – Audytowanie SZBI – połączenie ISO 19011 z ISO 27006. - Jest to połączenie normy dotyczącej przebiegu i prowadzenia audytu (ISO 19011) z Normą ISO 27006.

Norma ISO 27001, System Zarządzania Bezpieczeństwem Informacji ma zastosowanie we wszystkich typach organizacji. Dotyczy to agencji rządowych, przedsiębiorstw komercyjnych (produkcyjnych i usługowych) jak również instytucji charytatywnych. W normie zawarto wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia udokumentowanego SZBI w całościowym podejściu do ryzyk biznesowych.

Jeśli organizacja deklaruje zgodność wdrożonego systemu z normą, to musi zapewnić realizację wszystkich wymagań przedstawionych w rozdziałach 4 - 8. Jakiekolwiek wykluczenie z zabezpieczenia, niezbędne do spełnienia kryteriów akceptacji ryzyka powinno być uzasadnione, udokumentowane i zaakceptowane przez osoby do tego upoważnione. Wykluczenia te nie mogą mieć wpływu na możliwości organizacji co do zapewnienia odpowiedniego poziomu bezpieczeństwa informacji.

Podstawową strategią wykorzystaną w Systemie Zarządzania Bezpieczeństwem Informacji jest cykl PDCA znany jako Pętla Deminga. Jest to interakcyjne podejście do zarządzania jakością, obejmujące następujące etapy:

• PLAN (ang.) – Planuj

• DO (ang.) - Wykonuj • CHECK (ang.) - Sprawdzaj • ACT (ang.) – Działaj

Właściciel: Wersja demons

Rys. 1: Pętla Deminga

Podejście procesowe w bezpieczeństwie informacji jest zbiorem oddziaływujących na siebie

Do Pętli Deminga możemy przypisać wymagania n

Planuj - Ustanowienie polityki SZBI, celów, procesów i procedur wpływających na zarządzanie ryzykiem oraz na doskonalenie bezpieczeństwa informacji w organizacji.

Wykonuj - Wdrożenie i eksploatacja polityki

Sprawdzaj - Szacowanie i pomiar wydajności procesów w odn- Dostarczanie danych w postaci raportów.

Działaj - Podejmowanie działań korygujących, zapobiegawczych oraz ciągłe doskon Norma ISO/IEC 27001:2005 została dostosowana do norm ISO 9001:200

1 PN-ISO/IEC 27001:2007

Wersja demonstracyjna, pobrana z http://www.e-doskonalenie.pl

Podejście procesowe w bezpieczeństwie informacji oznacza, że System zarządzania bezpieczeństwem jest zbiorem oddziaływujących na siebie procesów.

nga możemy przypisać wymagania normy:1

stanowienie polityki SZBI, celów, procesów i procedur wpływających na zarządzanie ryzykiem oraz na doskonalenie bezpieczeństwa informacji w organizacji.

eksploatacja polityki, procesów i procedur.

Szacowanie i pomiar wydajności procesów w odniesieniu do przyjętej polityki.Dostarczanie danych w postaci raportów.

Podejmowanie działań korygujących, zapobiegawczych oraz ciągłe doskon

została dostosowana do norm ISO 9001:2000 oraz ISO 14001:2004.

Wstęp

7 doskonalenie.pl

zarządzania bezpieczeństwem

stanowienie polityki SZBI, celów, procesów i procedur wpływających na zarządzanie ryzykiem

iesieniu do przyjętej polityki.

Podejmowanie działań korygujących, zapobiegawczych oraz ciągłe doskonalenie SZBI.

oraz ISO 14001:2004.

Decyzja o wdrożeniu systemu zarządzania bezpieczeństwem informacji

8


2. Decyzja o wdrożeniu systemu zarządzania bezpieczeństwem informacji

Wdrożenie systemu zarządzania bezpieczeństwem informacji powinno być świadomą decyzją Kierownictwa firmy (punkt 4.2.1i normy PN-ISO/IEC 27001:2007). W zasadzie nie ma w normie wymogu udokumentowania takiej decyzji, ale jest dobrą praktyką zapisanie decyzji w postaci np. zarządzenia. Zalecane jest, żeby decyzja Kierownictwa została zakomunikowana wszystkim pracownikom oraz współpracownikom. W ten sposób Kierownictwo wyraża swoje zaangażowanie we wdrożenie SZBI i „wdraża” pracowników.

2.1. Przedstawiciel kierownictwa

Wdrożenie systemu Zarządzania Bezpieczeństwem Informacji (SZBI) wymaga zaangażowania wszystkich osób pracujących w organizacji lub w jej imieniu, którzy mogą mieć wpływ na bezpieczeństwo informacji, np. dostawców usług porządkowych, remontowych, ochrony itd.

Dlatego zaleca się, aby najwyższe kierownictwo organizacji wyznaczyło swojego przedstawiciela, który będzie odpowiadał za wdrożenie i utrzymywanie systemu. Norma ISO 27001 nie wymaga tej funkcji, konieczna jest natomiast koordynacja działań, a funkcja pełnomocnika usprawnia i pomaga nadzorować System.

Pełnomocnik tylko koordynuje wdrożenie systemu, za działanie systemu odpowiadają wszyscy pracownicy, w zakresie swoich zadań. Bardzo istotna w tym Systemie jest świadomość personelu budowana przez szkolenia wewnętrzne z zakresu bezpieczeństwa informacji, ustalone zasady postępowania muszą być bezwzględnie przestrzegane.

Kolejne kroki związane z wdrożeniem realizowane są już pod przewodnictwem powołanego Pełnomocnika. Należą do nich:

- Wybranie metodyki analizy ryzyka, określenie ryzyk, ocenienie ryzyk i ich analizowanie, - Wybranie zabezpieczeń, - Przygotowanie deklaracji stosowania - Wdrożenie i doskonalenie systemu.

Dobrą praktyką jest powołanie w organizacji Forum Bezpieczeństwa. Pełni ono funkcję doradczą dla Pełnomocnika. W skład Forum Bezpieczeństwa powinien wchodzić Pełnomocnik ds. SZBI, właściciele aktywów oraz inni pracownicy wskazani przez Pełnomocnika ds. SZBI. Forum zwoływane jest przez Pełnomocnika ds. SZBI za zgodą Prezesa Zarządu. Zadaniem Forum jest:

- dokonywanie przeglądu i zatwierdzanie polityki bezpieczeństwa informacji oraz ogólnego podziału odpowiedzialności

- uzgadnianie metodyki i procesów związane z bezpieczeństwem informacji, np. szacowania ryzyka, systemu klasyfikacji informacji dla potrzeb bezpieczeństwa itp.

- monitorowanie istotnych zmian narażenia aktywów informacyjnych na podstawowe zagrożenia - dokonywanie przeglądu i monitorowanie trendów naruszeń bezpieczeństwa informacji - zatwierdzanie ważniejszych przedsięwzięć zmierzających do podniesienia poziomu bezpieczeństwa

informacji



Rys. 2: Struktura zarządzania bezpieczeństwem informacji w

Do głównych zadań pełnomocnika po wdrożeniu SZBI

- Nadzorowanie audytów wewnętrznych wewnętrznych i ich dokumentowanie, dbał również o zapewnienie wykwalifikowanych audytorów.

- Nadzorowanie dokumentacji systemuorganizacji, zarówno papierowej jak i elektronicznej, określenie procedury nadzoruprzestrzeganie spoczywa na pełnomocniku.

- Organizowanie przeglądów zarządzaniakierownictwo organizacji oraz przygotowanie z niego raportu to też zadanie pełnomocnika.

- Nadzorowanie wdrażania działań korygujących i zapobiegawczych informacji może wskazywać na już występujące lub mogące wystąpić niezgodności. Ich usuwanie powinno odbywać się zgodnie z procedurami działań korygujących i zapobiegaich uruchamianie i nadzór nad wdrożeniem.

- Monitorowanie realizacji planu postępowania z ryzykiem wymaga wdrożenia okresowej analizy ryzyka, opracowania i nadzorowania realizacryzykiem.

Tyle w bardzo dużym skrócie. Kolejne rozdziały opisują po systemu Zarządzania Bezpieczeństwem Informacji.



zarządzania bezpieczeństwem informacji w firmie

po wdrożeniu SZBI należy:

Nadzorowanie audytów wewnętrznych - Pełnomocnik będzie planował i nadzorował realizację audytów ich dokumentowanie, dbał również o zapewnienie wykwalifikowanych audytorów.

systemu - należy zapewnić aktualność całej dokumentacji występującej w organizacji, zarówno papierowej jak i elektronicznej, określenie procedury nadzoru i odpowiedzialność za jej przestrzeganie spoczywa na pełnomocniku. Organizowanie przeglądów zarządzania - organizacja okresowego przeglądu systemukierownictwo organizacji oraz przygotowanie z niego raportu to też zadanie pełnomocnika.

wdrażania działań korygujących i zapobiegawczych – wiele gromadzonych w informacji może wskazywać na już występujące lub mogące wystąpić niezgodności. Ich usuwanie powinno odbywać się zgodnie z procedurami działań korygujących i zapobiegawczych. Pełnomocnik odpowiada za ich uruchamianie i nadzór nad wdrożeniem. Monitorowanie realizacji planu postępowania z ryzykiem - System zarządzania bezpieczeństwem informacji wymaga wdrożenia okresowej analizy ryzyka, opracowania i nadzorowania realizacji planu postępowania z

Tyle w bardzo dużym skrócie. Kolejne rozdziały opisują po kolei praktyczne porady związane z wdrażaniem Zarządzania Bezpieczeństwem Informacji.


9 doskonalenie.pl

nadzorował realizację audytów ich dokumentowanie, dbał również o zapewnienie wykwalifikowanych audytorów.

ależy zapewnić aktualność całej dokumentacji występującej w i odpowiedzialność za jej

systemu przez Zarząd i kierownictwo organizacji oraz przygotowanie z niego raportu to też zadanie pełnomocnika.

iele gromadzonych w Systemie informacji może wskazywać na już występujące lub mogące wystąpić niezgodności. Ich usuwanie powinno

wczych. Pełnomocnik odpowiada za

zarządzania bezpieczeństwem informacji ji planu postępowania z

praktyczne porady związane z wdrażaniem

Wymagania ogólne systemu Zarządzania Bezpieczeństwem Informacji

10


3. Wymagania ogólne systemu Zarządzania Bezpieczeństwem Informacji

Organizacja powinna ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i doskonalić System Zarządzania Bezpieczeństwem Informacji. Wszystkie te działania powinny być udokumentowane, powinny odnosić się do prowadzonej działalności i związanego z tym ryzyka występującego w organizacji.

3.1. Ustanowienie projektu

3.1.1. Zakres systemu (PN-ISO/IEC 27001:2007, 4.2.1 a)

Określenie zakresu i granic systemu jest uzależnione od organizacji i jej oczekiwań związanych z wdrożeniem systemu Zarządzania Bezpieczeństwem Informacji. Zakres może obejmować całą działalność organizacji lub jej część, np. jeden konkretny proces. Norma nie wymaga wdrożenia systemu w całej organizacji. W przypadku organizacji wielooddziałowych SZBI może objąć wszystkie oddziały lub np. tylko centralę.

Przyjęty zakres wdrożenia systemu będzie miał wpływ na jego budowę i będzie zapisany na certyfikacie. Jeśli zdefiniowany zakres obejmie tylko część organizacji należy zwrócić szczególną uwagę na granice systemu, które będą przebiegały wewnątrz organizacji pomiędzy obszarem objętym SZBI a pozostałą częścią organizacji. Przy określeniu zakresu wdrażanego systemu musimy dodać również uzasadnienie wszystkich przyjętych wykluczeń.

Rys. 3: Wpływ działu wdrażającego SZBI na pozostałe działy w organizacji.

Pierwszym krokiem po ustaleniu obszaru wdrożenia jest ustalenie aktywów i technologii.

3.1.2. Polityka Bezpieczeństwa (PN-ISO/IEC 27001:2007, 4.2.1 b)

Następnym działaniem w ramach ustanowienia SZBI jest zdefiniowanie Polityki SZBI. Polityka powinna uwzględniać charakter prowadzonej działalności, jej organizację, lokalizację, ustalone aktywa i technologie.

AKTYWA Wszystko to, co ma wartość dla organizacji i powinno podlegać ochronie, np.: informacje, zasoby, cele do osiągnięcia, ciągłość działania, aktywa finansowe, techniczne itp.


TECHNOLOGIA metoda przygotowania i prowadzenia procesu wytworzenia lub przetwarzania jakiegoś dobra (także informacji). Technologia może oznaczać konkretny proces (np. technologia

Zdefiniowana polityka SZBI powinna:

- zawierać ramy ustalania celów polityki oraz wyznaczać ogólny kierunek i działania dotyczące bezpieczeństwa informacji,

- brać pod uwagę wymagania biznesowe, prawne, o charakterze regulacyjnym oraz wynikające z umów i zobowiązań, związanych w bezpieczeństwem,

- ustanowić jako element strategiczny zarządzanie ryzykiem dając obszar ustanowienia i utrzymania systemu,

- określać kryteria, według których będzie oceniane ryzyko,- zostać zaakceptowana przez kierownictwo

Polityka bezpieczeństwa powinna wyjaśniaćochrony danych i informacji. W przypadku SZBI polityka dokumentem A4, który w ramce wywieszamy na ścianę. Średnio zajmuje ona około 20 30 stron. Powinna zawierać zbiór zasad i wytycznych, jakimi kieruję się organizacja w ramach SZBI.

Polityka bezpieczeństwa powinna wyznaczać kierunki i cele organizacji w zakresie SZBI a także przedstawiać w jaki sposób został w firmie zbudowany SZBI. Dobrym sposobem jest opracowanieprzedstawia zarys SZBI, a dodatkowo wdrożyć dokument „Księga procedur bezpieczeństwa”3, który to będzie już szczegółowo opisywał wybrane przez nas zagadnienia, procedury i wymagane normą elementy. Koniecznrównież ujęcie w polityce wszystkich wymagań normy dotyczących tej kwestii. Poniżej przedstawiamy przykładowy zarys polityki może stanowić podstawę do budowania SZBI

2 PN-ISO/IEC 27001:2007

3 Nazwa dokumentu jest nazwą przykładową, dokument może zostać nazwany inaczej.



metoda przygotowania i prowadzenia procesu wytworzenia lub przetwarzania jakiegoś dobra (także informacji). Technologia może oznaczać konkretny proces (np. technologia przetwarzania, technologia produkcji).

powinna:2

ramy ustalania celów polityki oraz wyznaczać ogólny kierunek i działania dotyczące bezpieczeństwa informacji, brać pod uwagę wymagania biznesowe, prawne, o charakterze regulacyjnym oraz wynikające z umów i

owiązań, związanych w bezpieczeństwem, ustanowić jako element strategiczny zarządzanie ryzykiem dając obszar ustanowienia i utrzymania

określać kryteria, według których będzie oceniane ryzyko, zostać zaakceptowana przez kierownictwo.

bezpieczeństwa powinna wyjaśniać, jaki zamiar ma kierownictwo w zakresie przypadku SZBI polityka może być czymś więcej niż

ry w ramce wywieszamy na ścianę. Średnio zajmuje ona około 20 – wierać zbiór zasad i wytycznych, jakimi kieruję się organizacja

Polityka bezpieczeństwa powinna wyznaczać kierunki i cele organizacji w zakresie SZBI a także przedstawiać w jaki sposób został w firmie zbudowany SZBI.

opracowanie polityki, która w stopniu dość ogólnym przedstawia zarys SZBI, a dodatkowo wdrożyć dokument „Księga procedur

, który to będzie już szczegółowo opisywał wybrane przez nas zagadnienia, procedury i wymagane normą elementy. Konieczne jest również ujęcie w polityce wszystkich wymagań normy dotyczących tej

przykładowy zarys polityki SZBI, która może stanowić podstawę do budowania SZBI.

Nazwa dokumentu jest nazwą przykładową, dokument może zostać nazwany inaczej.


11 doskonalenie.pl

metoda przygotowania i prowadzenia procesu wytworzenia lub przetwarzania jakiegoś dobra (także informacji). Technologia może oznaczać konkretny proces (np.

ramy ustalania celów polityki oraz wyznaczać ogólny kierunek i działania dotyczące

brać pod uwagę wymagania biznesowe, prawne, o charakterze regulacyjnym oraz wynikające z umów i

ustanowić jako element strategiczny zarządzanie ryzykiem dając obszar ustanowienia i utrzymania

jaki zamiar ma kierownictwo w zakresie czymś więcej niż

Biografia

75


Polecamy

Szkolenia e-learningowe

Co to jest szkolenie e-learningowe?

Jest to forma szkoleń opierająca się na wszelkich dostępnych mediach elektronicznych. Szkolenia odbywają się na odległość poprzez kursy internetowe.

Jakie korzyści e-learning daje osobie szkolonej?

• dostosowanie procesu szkoleniowego przez dobór zakresu, intensywności, tempa i poziomu szkolenia do możliwości uczestnika,

• nauki w dowolnym czasie i miejscu,

• kontrola osoby uczącej się nad procesem przyswajania wiedzy i rozwoju umiejętności,

• stały dostęp do baz wiedzy, co zwiększa możliwości samokształcenia osób zainteresowanych własnym rozwojem.

e-ISO: poradniki, oprogramowanie

Zapraszamy do odwiedzenia pierwszego w Polsce sklepu internetowego poświęconego tematyce ISO!!! Oferujemy tradycyjne podręczniki o tematyce ISO, jak również e-booki i oraz szkolenia e-learningowe z tego zakresu oraz oprogramowanie wspomagające wdrożenie i utrzymanie systemów zarządzania wg norm ISO. Nasza oferta będzie ciągle zwiększana i dostosowywana do potrzeb naszych Klientów.

Adres sklepu: http://www.e-doskonalenie.pl

Documents

Poradnik 12 bezpieczeństwo informacji w iso 27001 demo