Autor: Anna Słodczyk
Artykuł z dnia 02-09-2024r.
Ważne normy serii ISO dla obszaru cyberbezpieczeństwa, bezpieczeństwa informacji i RODO.
Wyjaśniam Państwu jakie mamy obecnie normy i jak je należy rozumieć, które podlegają audytowi certyfikacyjnemu.
Norma: PN-EN ISO/IEC 27001:2022, to norma wskazująca wymagania do certyfikacji bezpieczeństwa informacji. Wg tej normy audytorzy weryfikują spełnienie wymagań w obszarze bezpieczeństwa informacji w firmie i przy braku niezgodności firma może otrzymać od zewnętrznej jednostki certyfikacyjnej certyfikat na zgodność z tą normą.
Norma cytowana jest także w wielu przepisach prawa, jako odwołanie do spełnienia zasad bezpieczeństwa informacji, np. kontrola zarządcza, KRI, NIS2, UKSC, inne. Takie odwołanie nie wymaga posiadania certyfikatu od jednostki zewnętrznej, ale wymaga wykazania spełnienia wymagań normy. Jest to sprawdzane przez niezależnych audytorów zewnętrznych posiadających uprawnienia zgodne w wymaganiami konkretnego przepisu prawa lub jeżeli taki audyt nie jest wymagany sama firma jest zobowiązana do spełnienia wymagań zgodnie z normą ISO 27001.
Uwaga, nowa norma z roku 2022 wprowadziła wiele zmian w stosunku do starszej wersji, zgodnie z którą wiele firm się certyfikowało i należy przeprowadzić recertyfikację lub przygotować się do audytu lub wdrożenia bezpieczeństwa informacji zgodnie z nową normą ISO 27001:2022.
Norma: PN-EN ISO/IEC 27002:2022, to norma na którą się nie certyfikuje. Ta norma wyjaśnia jak rozumieć i w jaki sposób stosować zabezpieczenia w obszarze bezpieczeństwa informacji wykazane w wymaganiach normy ISO 27001. Jest to tzw. zbiór dobrych praktyk. Norma jest nierozerwalnie połączona z normą ISO 27001 w procesie wdrażania wymagań normy ISO 27001.
Norma: PN-EN ISO/IEC 27017:2015,to norma która definiuje sposób spełnienia wymagań bezpieczeństwa danych osobowych dla danych przetwarzanych w chmurze. Jest uzupełnieniem normy ISO 27002 opisującym sposób postępowania z danymi w chmurze. Można wykazane w niej wymagania dołożyć do certyfikacji ISO 27001.
Norma: PN-EN ISO/IEC 27018: 2020, to norma uzupełniająca do normy ISO 27002 i ISO 27017 opisuje praktyczne zasady ochrony danych identyfikujących osobę w chmurach publicznych. Norma jest także uzupełnieniem sposobu spełnienia wymagań bezpieczeństwa informacji opisanych w normie PN-EN ISO/IEC 27701: 2021 w zakresie zarządzania informacjami o ochronie prywatności. ISO 27018 oraz ISO 27701 stanowią także rozszerzenie normy ISO27001 w zakresie zarządzania prywatnością i mogą być rozszerzeniem do certyfikacji ISO 27001 w tym zakresie.
Norma: PN ISO 31000:2018, to norma przedstawiająca wytyczne dotyczące zarządzania ryzykiem, niezależnie od rodzaju organizacji i analizowanego obszaru jej działalności. Jest to norma opisująca tzw. ramy zarządzania ryzykiem w organizacji. Norma ISO 27001 odwołuje się wprost do tej normy w zakresie realizacji wymagań dla analizy i oszacowania ryzyka w bezpieczeństwie informacji.
Norma: PN ISO 27005:2018, to norma uzupełniająca normę ISO 27002 i uszczegóławiająca normę ISO 31000 w zakresie analizy i szacowania ryzyka w obszarze bezpieczeństwa informacji. Jest to tzw. zbiór dobrych praktyk, wspierający wdrożenie ISO 27001.
Norma: PN-EN ISO 22301:2020, to norma opisująca wymagania dot. ciągłości działania firmy/organizacji, może być wykorzystana do oceny zdolności organizacji dla celów spełnienia własnych potrzeb i zobowiązań w zakresie ciągłości działania. Jest to znana w świecie norma, która umożliwia przeprowadzenie zewnętrznej certyfikacji i uzyskanie certyfikatu dot. ciągłości działania firmy.
Reasumując, główną uznaną normą do certyfikacji bezpieczeństwa informacji jest norma ISO/IEC 27001:2022 lub nowsza, która może zostać rozszerzona przy certyfikacji o opisane zasady bezpieczeństwa z norm ISO 27017 lub ISO 27018 lub 27701. Można też certyfikować się na normę związaną z ciągłością działania, tj. ISO 22301.
Normy ISO 27002, ISO 27005, ISO 31000 są normami wskazującymi na sposób wdrożenia i zapewnienia wymagań ww. norm. Normy te nie podlegają certyfikacji.
Anna Słodczyk©
Najnowsze komentarze