Nowa norma ISO 27001:2013 system zarządzania bezpieczeństwem informacji – część 2


Redakcja: Pojawiły się opinie, że w nowym wydaniu normy ISO 27001:2013 cykl PDCA (Planuj-Wykonaj-Sprawdź-Działaj) nie jest już podstawą systemu zarządzania bezpieczeństwem informacji. Czy rzeczywiście tak jest?

WG: Niezupełnie. Nowa struktura normy ISO 27001, która została opracowana zgodnie z Aneksem SL wprowadzającym ujednoliconą strukturę norm dotyczących systemów zarządzania, jest zgodna z cyklem PDCA. Schemat graficzny prezentuje relacje punktów z normy ISO 27001:2013 w stosunku do elementów cyklu PDCA.

Cykl PDCA w ISO 27001:2013

Redakcja: A teraz wróćmy do tematu zmian, jakie czekają organizacje posiadające już wdrożony system zarządzania bezpieczeństwem informacji wg ISO/IEC 27001:2005 lub PN ISO/IEC 27001:2007. Jakie powinny być następne kroki?

WG: Nowym wymaganiem, które pojawiło się w normie ISO 27001:2013 jest konieczność identyfikowania tzw. „stron zainteresowanych”. To wymaganie nawiązuje do podobnego wymagania z normy ISO 31000 dotyczącej zarządzania ryzykiem. Stronami zainteresowanymi mogą być klienci, kontrahenci, służby państwowe, urzędy ale również pracownicy, media i lokalne społeczności.

Redakcja: Jaki jest cel identyfikacji stron zainteresowanych?

WG: Podstawowym celem jest identyfikacja oczekiwań, potrzeb i wymagań stron zainteresowanych, oczywiście w kontekście bezpieczeństwa informacji. Jako przykład mogę przywołać wymagania wynikające np. z regulacji prawnych (prawa autorskie, ochrona danych osobowych) czy też specyficzne wymagania wynikające z umowy z klientem (np. konieczność monitorowania każdego dostępu do dokumentacji powierzonej przez klienta).

Redakcja: I co dalej?

WG: Znając wymagania stron zainteresowanych możemy przystąpić do ustalenia zakresu systemu zarządzania bezpieczeństwem informacji, który będzie brał pod uwagę strony zainteresowane. I znów, w ślad za ISO 31000, podczas ustalania zakresu systemu organizacja powinna wziąć pod uwagę „kontekst wewnętrzny” i „kontekst zewnętrzny” (wg ISO 31000), czyli np. powiązania pomiędzy działalnością organizacji a działalnością realizowaną przez strony trzecie (np. LAN a WAN).

cdn…