Punkt Informacji Normalizacyjnej BG AGH posiada Świadectwo Stosowania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014-12

Punkt Informacji Normalizacyjnej posiada Świadectwo Stosowania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014-12.

Świadectwo SZBI



Dokumenty: 

 Polityka Bezpieczeństwa Informacji PIN BG AGH

 Regulamin  Korzystania z usług Oddziału Zbiorów Specjalnych

 

Co to jest ISO/IEC 27001?

Informacja ma zasadnicze znaczenie dla podejmowanych działań, a może nawet dla przetrwania organizacji.

Certyfikat ISO/IEC 27001 pomaga w zarządzaniu cennymi zasobami informacji i chronieniu ich. ISO/IEC 27001 to jedyna poddawana audytom norma międzynarodowa, która określa wymogi dotyczące systemów zarządzania bezpieczeństwem informacji. Norma ta została opracowana w celu zapewnienia wyboru adekwatnych i proporcjonalnych środków bezpieczeństwa. Pomaga to w ochronie zasobów informacji i daje pewność wszystkim zainteresowanym stronom.

Międzynarodowa norma ISO/IEC 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

Norma ISO/IEC 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA tj. Plan – Do – Check – Act ), który jest stosowany dla całej struktury procesów SZBI.

Plik:PDCA Cycle-PL.svg


Schemat Plan-Do-Check-Act czyli " Zaplanuj-Wykonaj-Sprawdź-Popraw"

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.

Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma ISO/IEC 27001 dotyczy każdej organizacji, dużej i małej, z dowolnej branży i dowolnej części świata. Norma ta jest szczególnie przydatna tam, gdzie ochrona informacji ma znaczenie zasadnicze, na przykład w sektorach finansów, opieki medycznej, publicznym i informatycznym. Norma ISO/IEC 27001 jest także efektywna w przypadku organizacji, które zarządzają informacjami w czyimś imieniu, na przykład podwykonawców usług informatycznych. Może służyć do zapewnienia klientów, że ich informacje są odpowiednio chronione.

System Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS Information Security Management System) zgodny z ISO/ IEC 27001 określa wymagania oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji:

  • polityka bezpieczeństwa informacji;
  • organizacja bezpieczeństwa informacji;
  • zarządzanie aktywami;
  • bezpieczeństwo osobowego;
  • bezpieczeństwo fizyczne i środowiskowe;
  • zarządzanie systemami i sieciami;
  • kontrola dostępu;
  • uzyskiwanie, rozwój i utrzymanie systemów informacyjnych;
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  • zarządzanie ciągłością działania;
  • zgodność.

Rodzina norm z serii ISO/ IEC 27000 „Technika informatyczna. Techniki bezpieczeństwa … (Information technology – Security techniques …) obejmuje:

  • ISO/IEC 27000 (PN-ISO/IEC 27000:2014-11)  Systemy zarządzania bezpieczeństwem informacji. Przegląd i terminologia. Information security management systems. Overview and terminology.

  • ISO/ IEC 27001 (PN-ISO/ IEC 27001:2014-1) Systemy zarządzania bezpieczeństwem informacji. Wymagania. Information security management systems. Requirements

    Jest to jedyna norma która stanowi podstawę do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji;

  • ISO/IEC 27002 (PN-ISO/IEC 27002:2014-2)   Praktyczne zasady zabezpieczania informacji. Code of practice for information security controls.

  • ISO/ IEC 27003 Information security management system implementation guidance;

  • ISO/ IEC 27004 Information security management – Measurement;

  • ISO/ IEC 27005 (PN-ISO/ IEC 27005:2014-01)  Zarządzanie ryzykiem w bezpieczeństwie informacji. Information security risk management;

  • ISO/ IEC 27006 (PN-ISO/ IEC 27006:2014-01) Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. Requirements for bodies providing audit and certification of information security management systems.

 

Źródło:
www.bsigroup.pl/pl/Auditowanie-i-certyfikacja/Systemy-zarzadzania/Normy-i-programy/ISO-IEC-27001/ 
http://www.iso.org.pl/uslugi-zarzadzania/wdrazanie-systemow/zarzadzanie-ryzykiem/iso-iec-27001/