Jest normą międzynarodową standaryzującą systemy zarządzania bezpieczeństwem informacji (SZBI). Została ogłoszona w październiku 2005, a jej pierwowzorem był wydany przez BSI brytyjski standard BS 7799-2. W Polsce normę ISO/IEC 27001 opublikowano w styczniu 2007.
Podstawą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz, na jej podstawie, implementacja odpowiednich mechanizmów nadzoru i zarządzania niezbędnego do zachowania podstawowych atrybutów bezpieczeństwa informacji, jakimi są: poufność, integralność oraz dostępność danych.
Norma jest usystematyzowanym zbiorem wymagań/rekomendacji, obejmującym swoim zakresem takie zagadnienia jak: tworzenie strategii i polityki bezpieczeństwa informacji, identyfikacja, analiza i zarządzanie ryzykami wystąpienia zagrożeń, poprzez wdrażanie i zarządzanie zabezpieczeniami chroniącymi przed tymi zagrożeniami, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądów kierownictwa.
W normie przyjęto podejście procesowe: model PDCA (Plan-Do-Check-Act). Model ten stosowany jest do całej struktury procesów SZBI, tzn.: ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu.
W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji. W ramach tych obszarów zdefiniowano cele, jakie ma realizować sprawny system zarządzania bezpieczeństwem informacji (SZBI) oraz zabezpieczenia (w postaci wytycznych) niezbędne do realizacji tych celów.
Obszary, mające wpływ na bezpieczeństwo informacji wg. normy ISO/IEC 27001:
- Polityka bezpieczeństwa
- Organizacja bezpieczeństwa informacji
- Zarządzanie aktywami
- Bezpieczeństwo zasobów ludzkich
- Bezpieczeństwo fizyczne i środowiskowe
- Zarządzanie systemami i sieciami
- Kontrola dostępu
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji
- Zarządzanie ciągłością działania
- Zgodność z wymaganiami prawnymi i wprowadzonymi standardami
Warto zauważyć, że norma wskazuje, iż określone w niej cele stosowania zabezpieczeń i same zabezpieczenia nie są wyczerpujące i organizacja może, w zależności od potrzeby, rozważyć wyznaczenie nowych celów i zabezpieczeń.
Oferujemy: wsparcie przy wdrożeniu systemu zarządzania bezpieczeństwem informacji wg. normy oraz audyty zgodności z normą ISO 27001.