System Zarządzania Bezpieczeństwem Informacji (Information Security Management System, ISMS) to zestaw polityk, procedur i procesów mających na celu zarządzanie ryzykiem związanym z bezpieczeństwem informacji i ochronę informacji organizacji. Najbardziej uznanym standardem dla ISMS jest ISO/IEC 27001. Poniżej przedstawiam podstawowe wymagania dla ISMS zgodnie z normą ISO/IEC 27001:
Podstawowe wymagania dla ISMS zgodnie z normą ISO/IEC 27001:
- Kontekst organizacji:
- Zrozumienie organizacji i jej kontekstu.
- Zrozumienie potrzeb i oczekiwań zainteresowanych stron.
- Określenie zakresu ISMS.
- System zarządzania bezpieczeństwem informacji i jego procesy.
- Przywództwo:
- Przywództwo i zaangażowanie.
- Polityka bezpieczeństwa informacji.
- Role, odpowiedzialności i uprawnienia w organizacji.
- Planowanie:
- Działania odnoszące się do ryzyk i szans.
- Cele dotyczące bezpieczeństwa informacji i planowanie ich osiągnięcia.
- Planowanie zmian.
- Wsparcie:
- Zasoby (ludzkie, infrastruktura, środowisko pracy, zasoby monitorowania i pomiarów, wiedza organizacji).
- Kompetencje.
- Świadomość.
- Komunikacja.
- Udokumentowane informacje (zarządzanie dokumentacją i zapisami).
- Działania operacyjne:
- Ocena wydajności:
- Monitorowanie, pomiary, analiza i ocena.
- Audyt wewnętrzny.
- Przegląd zarządzania.
- Doskonalenie:
- Niezgodności i działania korygujące.
- Ciągłe doskonalenie.
- Planowanie i kontrola operacyjna.
- Ocena ryzyka związanego z bezpieczeństwem informacji.
- Postępowanie z ryzykiem.
- Kontrola dostępu.
- Zarządzanie aktywami.
- Bezpieczeństwo fizyczne i środowiskowe.
- Bezpieczeństwo operacyjne.
- Bezpieczeństwo komunikacji.
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych.
- Relacje z dostawcami.
Szczegółowe elementy ISMS:
- Polityka bezpieczeństwa informacji:
- Deklaracja kierownictwa dotycząca zaangażowania w zapewnienie bezpieczeństwa informacji oraz zgodności z przepisami prawnymi.
- Ocena ryzyka:
- Identyfikacja zagrożeń związanych z bezpieczeństwem informacji.
- Ocena ryzyka poprzez analizę prawdopodobieństwa i skutków zagrożeń.
- Opracowanie planów postępowania z ryzykiem, mających na celu minimalizację ryzyka do akceptowalnego poziomu.
- Kontrola dostępu:
- Środki zapewniające, że tylko upoważnione osoby mają dostęp do informacji.
- Zarządzanie aktywami:
- Identyfikacja i zarządzanie aktywami (w tym sprzętem, oprogramowaniem, danymi i personelem).
- Bezpieczeństwo fizyczne i środowiskowe:
- Ochrona fizyczna zasobów informacyjnych przed zagrożeniami fizycznymi i środowiskowymi.
- Bezpieczeństwo operacyjne:
- Zapewnienie bezpiecznej eksploatacji systemów informacyjnych.
- Bezpieczeństwo komunikacji:
- Ochrona informacji podczas jej przesyłania.
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych:
- Bezpieczeństwo informacji podczas cyklu życia systemów informacyjnych, od projektowania po eksploatację i utrzymanie.
- Relacje z dostawcami:
- Zarządzanie bezpieczeństwem informacji w relacjach z dostawcami i partnerami.
- Monitorowanie i pomiary:
- Regularne monitorowanie i pomiary kluczowych wskaźników związanych z bezpieczeństwem informacji.
- Szkolenia, świadomość i kompetencje:
- Szkolenia dla pracowników, aby zapewnić, że są świadomi swoich obowiązków i wpływu na bezpieczeństwo informacji.
- Audyt wewnętrzny i przegląd zarządzania:
- Regularne audyty wewnętrzne oraz przeglądy systemu zarządzania bezpieczeństwem informacji przez najwyższe kierownictwo w celu oceny jego skuteczności.
Podsumowanie
Aby skutecznie wdrożyć ISMS zgodny z ISO/IEC 27001, organizacja musi dokładnie zrozumieć swoje konteksty bezpieczeństwa informacji, zaangażować odpowiednie przywództwo, planować działania związane z ryzykiem i szansami dotyczącymi bezpieczeństwa informacji, zapewnić odpowiednie wsparcie i zasoby, skutecznie kontrolować operacje oraz stale monitorować, oceniać i doskonalić swoje procesy związane z bezpieczeństwem informacji.