W Polsce regulacja ISO/IEC 27001 została opublikowana w styczniu 2007 roku, jako PN-ISO/IEC 27001:2007. W grudniu 2014 roku została ona zastąpiona przez normę PN-ISO/IEC 27001:2014.
Czym jest PDCA?
W normie ISO/IEC 27001 zastosowanie znajduje model PDCA (znany jako Cykl Deminga), czyli „Planuj – Wykonuj – Sprawdzaj – Działaj”. Pierwszym elementem jest planowanie, które w tym przykładzie oznacza określenie celów i przygotowanie procedur. Kolejną fazą jest wykonanie, czyli wdrożenie zasad SZBI, następnie konieczne jest sprawdzanie, to znaczy monitoring wydajności. Działanie, to z kolei korygowanie procedur na podstawie wewnętrznego audytu.
Obszary stosowania normy ISO/IEC 27001
W normie ISO/IEC 27001 określone zostało 11 obszarów, które mają znaczenie dla bezpieczeństwa informacji. Pierwszym z nich jest obowiązująca w organizacji polityka bezpieczeństwa, która określa obowiązujące zasady i procedury. Kolejnym obszarem jest organizacja bezpieczeństwa informacji, a także zapewnienie bezpieczeństwa od strony zasobów ludzkich. Znaczenie ma również zarządzanie aktywami oraz prowadzenie kontroli dostępu do informacji. Kolejne obszary normy ISO/IEC 27001 to stworzenie stref bezpieczeństwa oraz zabezpieczenie sprzętu, czyli zapewnienie bezpieczeństwa fizycznego oraz środowiskowego. Ważne są również zarządzanie oraz konfiguracja systemów i sieci, a także zadbanie o ciągłość działania. Istotnym obszarem działania jest też kontrola nad systemami informatycznymi, to znaczy ich pozyskiwanie i utrzymywanie. Należy też pamiętać o konieczności zarządzania przypadkami utraty bezpieczeństwa informacji oraz o zgodności z normami prawnymi.
Wdrożenie normy ISO/IEC 27001 niesie ze sobą korzyści, takie jak: wzrost zaufania, lepsza wiarygodność, umożliwia także spełnienie obowiązujących norm prawnych dotyczących bezpieczeństwa informacji.
