ISO/IEC 27001 to międzynarodowy standard określający wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Standard został opracowany przez Międzynarodową Organizację Normalizacyjną (ISO) i dostarcza metodologię wdrażania, utrzymywania i ciągłego doskonalenia SZBI w organizacji dowolnego typu i rozmiaru.

Historia i rozwój normy ISO 27001

Norma ISO/IEC 27001 wywodzi się z brytyjskiego standardu BS 7799, który został opublikowany w 1995 roku. Pierwsza wersja międzynarodowej normy ISO/IEC 27001 została wydana w 2005 roku, a następnie zaktualizowana w 2013 roku, a potem w 2022 roku, aby lepiej odpowiadać na współczesne wyzwania związane z bezpieczeństwem informacji.

Struktura Normy ISO 27001

Norma ISO/IEC 27001:2022 składa się z dziesięciu głównych rozdziałów (klauzul 4–10), które określają wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a także z Załącznika A, który zawiera szczegółowe zabezpieczenia (środki kontroli).

Klauzule główne (rozdziały 4–10)

• Kontekst organizacji – identyfikacja wewnętrznych i zewnętrznych czynników wpływających na SZBI oraz określenie jego zakresu.
• Przywództwo – wymagania dotyczące zaangażowania najwyższego kierownictwa, polityki bezpieczeństwa i przypisania odpowiedzialności.
• Planowanie – identyfikacja ryzyk i szans, ustanowienie celów SZBI oraz planowanie działań w odpowiedzi na nie.
• Wsparcie – zapewnienie zasobów, kompetencji, świadomości, komunikacji oraz zarządzania dokumentacją.
• Działania operacyjne – planowanie, wdrażanie i nadzorowanie procesów bezpieczeństwa informacji oraz zarządzanie ryzykiem.
• Ocena efektów działania – monitorowanie, pomiary, audyty wewnętrzne i przeglądy zarządzania.
• Doskonalenie – działania korygujące oraz ciągłe udoskonalanie systemu SZBI.

Klauzule te oparte są na strukturze High-Level Structure (HLS), wspólnej dla wszystkich norm ISO dotyczących systemów zarządzania, co ułatwia integrację z innymi standardami, takimi jak ISO 9001 czy ISO 22301.

Załącznik A – Zabezpieczenia

Załącznik A zawiera katalog środków bezpieczeństwa (tzw. controls), które organizacje mogą zastosować w oparciu o wyniki przeprowadzonej oceny ryzyka oraz potrzeby i kontekst działania. W wersji z 2022 roku liczba zabezpieczeń wynosi 93 (a nie 114 jak w wersji 2013) i są one podzielone na 4 grupy tematyczne:

• A.5 – Controls for Organizational Measures (organizacyjne)
• A.6 – Controls for People Measures (ludzkie)
• A.7 – Controls for Physical Measures (fizyczne)
• A.8 – Controls for Technological Measures (technologiczne)

Chociaż liczba grup została zmniejszona z 14 do 4, większość zabezpieczeń została zachowana lub unowocześniona, a dodatkowo wprowadzono nowe kontrole, np. w zakresie usług chmurowych, ochrony danych osobowych czy zapobiegania utracie danych (DLP).

Załącznik A odnosi się bezpośrednio do normy ISO/IEC 27002, która zawiera szczegółowe wytyczne dotyczące wdrażania poszczególnych zabezpieczeń.

Kluczowe zasady systemu SZBI według ISO 27001

System Zarządzania Bezpieczeństwem Informacji zgodny z ISO 27001 opiera się na kilku fundamentalnych zasadach:

• Podejście oparte na ryzyku – Identyfikacja, analiza i ocena ryzyk związanych z bezpieczeństwem informacji to podstawa SZBI.
• Cykl PDCA (Plan-Do-Check-Act) – Wdrażanie, monitorowanie, przegląd i ciągłe doskonalenie systemu.
• Zaangażowanie kierownictwa – Skuteczne wdrożenie SZBI wymaga wsparcia i zaangażowania najwyższego kierownictwa.
• Podejście procesowe – Zarządzanie działaniami jako powiązanymi ze sobą procesami funkcjonującymi jako spójny system.
• Odpowiedzialność i świadomość – Jasne zdefiniowanie ról i odpowiedzialności oraz budowanie świadomości wśród pracowników.
• Zgodność z prawem – Uwzględnienie wymagań prawnych, regulacyjnych i umownych dotyczących bezpieczeństwa informacji.

Proces certyfikacji ISO 27001

Organizacje mogą uzyskać certyfikat ISO 27001, który potwierdza, że ich SZBI jest zgodny z wymaganiami normy. Proces certyfikacji obejmuje:

1. Przygotowanie do certyfikacji – wdrożenie SZBI, przeprowadzenie oceny ryzyka, wdrożenie zabezpieczeń, etc.
2. Audyt wstępny (opcjonalny) – wstępna ocena gotowości organizacji do certyfikacji.
3. Audyt certyfikacyjny – dwuetapowy audyt przeprowadzany przez jednostkę certyfikującą.
4. Uzyskanie certyfikatu – po pomyślnym przejściu audytu certyfikacyjnego.
5. Audyty nadzoru – regularne audyty (zazwyczaj co rok) sprawdzające utrzymanie zgodności.
6. Recertyfikacja – co trzy lata, pełny audyt certyfikacyjny.

Szczegółowe informacje na temat procesu certyfikacji znajdziesz w sekcji Proces Certyfikacji.

Korzyści z wdrożenia ISO 27001

Wdrożenie ISO 27001 przynosi organizacjom liczne korzyści:

• Zwiększenie odporności organizacji na zagrożenia związane z bezpieczeństwem informacji.
• Systematyczne zarządzanie ryzykiem związanym z bezpieczeństwem informacji.
• Zwiększenie zaufania klientów, partnerów i innych zainteresowanych stron.
• Zgodność z wymaganiami prawnymi i regulacyjnymi.
• Przewaga konkurencyjna dzięki potwierdzeniu zaangażowania w bezpieczeństwo informacji.
• Zmniejszenie kosztów związanych z incydentami bezpieczeństwa.

Pełna lista korzyści została opisana w sekcji Korzyści z SZBI.

Różnice między ISO 27001:2013 a ISO 27001:2022

W 2022 roku została wydana nowa wersja normy ISO 27001. Główne różnice między wersją z 2013 i 2022 roku to:

• Zmniejszenie liczby obszarów kontroli w Załączniku A z 14 do 4, przy jednoczesnej zmianie liczby zabezpieczeń ze 114 do 93.
• Reorganizacja zabezpieczeń w 4 główne kategorie: organizacyjne (A.5), ludzkie (A.6), fizyczne (A.7) i technologiczne (A.8).
• Dodanie nowych zabezpieczeń dotyczących bezpieczeństwa w chmurze, ochrony danych osobowych i zapobiegania utracie danych (DLP).
• Większy nacisk na aspekty związane z cyberbezpieczeństwem i nowoczesnymi zagrożeniami.
• Dostosowanie do struktury High-Level Structure (HLS) stosowanej w normach ISO dotyczących systemów zarządzania.
• Bezpośrednie odniesienie do normy ISO/IEC 27002, która zawiera szczegółowe wytyczne wdrażania zabezpieczeń.