ISMS

System Zarządzania Bezpieczeństwem Informacji (Information Security Management System, ISMS) to zestaw polityk, procedur i procesów mających na celu zarządzanie ryzykiem związanym z bezpieczeństwem informacji i ochronę informacji organizacji. Najbardziej uznanym standardem dla ISMS jest ISO/IEC 27001. Poniżej przedstawiam podstawowe wymagania dla ISMS zgodnie z normą ISO/IEC 27001:


Podstawowe wymagania dla ISMS zgodnie z normą ISO/IEC 27001:

  1. Kontekst organizacji:
    • Zrozumienie organizacji i jej kontekstu.
    • Zrozumienie potrzeb i oczekiwań zainteresowanych stron.
    • Określenie zakresu ISMS.
    • System zarządzania bezpieczeństwem informacji i jego procesy.
  2. Przywództwo:
    • Przywództwo i zaangażowanie.
    • Polityka bezpieczeństwa informacji.
    • Role, odpowiedzialności i uprawnienia w organizacji.
  3. Planowanie:
    • Działania odnoszące się do ryzyk i szans.
    • Cele dotyczące bezpieczeństwa informacji i planowanie ich osiągnięcia.
    • Planowanie zmian.
  4. Wsparcie:
    • Zasoby (ludzkie, infrastruktura, środowisko pracy, zasoby monitorowania i pomiarów, wiedza organizacji).
    • Kompetencje.
    • Świadomość.
    • Komunikacja.
    • Udokumentowane informacje (zarządzanie dokumentacją i zapisami).
  5. Działania operacyjne:
  6. Ocena wydajności:
    • Monitorowanie, pomiary, analiza i ocena.
    • Audyt wewnętrzny.
    • Przegląd zarządzania.
  7. Doskonalenie:
    • Niezgodności i działania korygujące.
    • Ciągłe doskonalenie.
  8. Planowanie i kontrola operacyjna.
  9. Ocena ryzyka związanego z bezpieczeństwem informacji.
  10. Postępowanie z ryzykiem.
  11. Kontrola dostępu.
  12. Zarządzanie aktywami.
  13. Bezpieczeństwo fizyczne i środowiskowe.
  14. Bezpieczeństwo operacyjne.
  15. Bezpieczeństwo komunikacji.
  16. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych.
  17. Relacje z dostawcami.


Szczegółowe elementy ISMS:

  1. Polityka bezpieczeństwa informacji:
    • Deklaracja kierownictwa dotycząca zaangażowania w zapewnienie bezpieczeństwa informacji oraz zgodności z przepisami prawnymi.
  2. Ocena ryzyka:
    • Identyfikacja zagrożeń związanych z bezpieczeństwem informacji.
    • Ocena ryzyka poprzez analizę prawdopodobieństwa i skutków zagrożeń.
    • Opracowanie planów postępowania z ryzykiem, mających na celu minimalizację ryzyka do akceptowalnego poziomu.
  3. Kontrola dostępu:
    • Środki zapewniające, że tylko upoważnione osoby mają dostęp do informacji.
  4. Zarządzanie aktywami:
    • Identyfikacja i zarządzanie aktywami (w tym sprzętem, oprogramowaniem, danymi i personelem).
  5. Bezpieczeństwo fizyczne i środowiskowe:
    • Ochrona fizyczna zasobów informacyjnych przed zagrożeniami fizycznymi i środowiskowymi.
  6. Bezpieczeństwo operacyjne:
    • Zapewnienie bezpiecznej eksploatacji systemów informacyjnych.
  7. Bezpieczeństwo komunikacji:
    • Ochrona informacji podczas jej przesyłania.
  8. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych:
    • Bezpieczeństwo informacji podczas cyklu życia systemów informacyjnych, od projektowania po eksploatację i utrzymanie.
  9. Relacje z dostawcami:
    • Zarządzanie bezpieczeństwem informacji w relacjach z dostawcami i partnerami.
  10. Monitorowanie i pomiary:
    • Regularne monitorowanie i pomiary kluczowych wskaźników związanych z bezpieczeństwem informacji.
  11. Szkolenia, świadomość i kompetencje:
    • Szkolenia dla pracowników, aby zapewnić, że są świadomi swoich obowiązków i wpływu na bezpieczeństwo informacji.
  12. Audyt wewnętrzny i przegląd zarządzania:
    • Regularne audyty wewnętrzne oraz przeglądy systemu zarządzania bezpieczeństwem informacji przez najwyższe kierownictwo w celu oceny jego skuteczności.


Podsumowanie

Aby skutecznie wdrożyć ISMS zgodny z ISO/IEC 27001, organizacja musi dokładnie zrozumieć swoje konteksty bezpieczeństwa informacji, zaangażować odpowiednie przywództwo, planować działania związane z ryzykiem i szansami dotyczącymi bezpieczeństwa informacji, zapewnić odpowiednie wsparcie i zasoby, skutecznie kontrolować operacje oraz stale monitorować, oceniać i doskonalić swoje procesy związane z bezpieczeństwem informacji.


Quality & Reliability Newsletter





Kontakt:

Quality &Reliability POLSKA

Lublin ul. Jagiellońska 2D
tel. 81 740 85 11
biuro@qrpolska.pl


Copyright: Quality & Reliability POLSKA

Design by PaluchPROJECT