Systemy zarządzania w bezpieczeństwie informacji
Na skróty:
ISO 27017 i 27018
ISO 27701
ISO/IEC 27005
ISO 27001 - System zarządzania bezpieczeństwem informacji
Norma i wdrożenie ISO 27001
Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.
W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.
Od bezpieczeństwa do normy ISO 27001
Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Wymagania związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:
- poufność,
- integralność,
- dostępność.
W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.
Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.
Sposób wdrożenia ISO 27001
Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.
Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.
Trzeba pamiętać, że analiza (pod kątem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.
Jednocześnie kierownictwo może świadomie określić:
- politykę bezpieczeństwa informacji zgodną z ISO 27001,
- podział odpowiedzialności związanych z bezpieczeństwem informacji,
- niezbędne szkolenia w dziedzinie bezpieczeństwa informacji,
- zasady zgłaszania przypadków naruszenia bezpieczeństwa,
- zasady zarządzania ciągłością działania firmy.
Korzyści ISO 27001
Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich:
minimalizacja ryzyka związanego z utratą danych (także wskutek ich kradzieży),
znaczące podniesienie prestiżu przedsiębiorstwa – zarówno Klienci, jak i Kontrahenci z pewnością docenią dbałość o zachowanie jak najwyższych standardów bezpieczeństwa danych,
gwarancja zgodności realizowanych strategii z wymogami prawnymi,
możliwość podjęcia natychmiastowych reakcji w przypadku wykrycia jakichkolwiek zmian bądź nieprawidłowości.
ISO 27017 i 27018 - System zarządzania bezpieczeństwem informacji w chmurze
Technologia informacyjna – techniki bezpieczeństwa – Kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 związanej z usługami w chmurze.
Norma ISO/IEC 27017 stosowana z serią norm ISO/IEC 27001 zapewnia dostawcom usług w chmurze i klientom korzystającym z usług w chmurze kontroli wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. W przeciwieństwie do wielu innych norm związanych z technologią, w ramach normy ISO/IEC 27017 określono role i odpowiedzialności strony, aby pomóc zapewnić bezpieczeństwo i ochronę usług w chmurze na poziomie, porównywalnym z zawartych poziomem bezpieczeństwa w certyfikowanym systemie zarządzania informacjami.
W ramach normy zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii:
- zakres odpowiedzialności podmiotów w relacjach między dostawcami danych w chmurze a klientami korzystającymi z chmury,
- usunięcie/zwrot aktywów po rozwiązaniu umowy,
- ochrona i oddzielenie środowiska wirtualnego klienta,
- konfiguracja maszyny wirtualnej,
- działania i procedury administracyjne związane z środowiskiem przetwarzania danych w chmurze,
- monitorowanie działań w chmurze klientów korzystających z usług przetwarzania danych w chmurze,
- dostosowanie środowiska sieci wirtualnej i środowiska chmury obliczeniowej.
Norma ISO/IEC 27018, stosowana wraz z ISO/IEC 27001, została opublikowana, aby Dostawcy Usług w Chmurze, których infrastruktura posiada certyfikat zgodności z normą, mogli powiedzieć swoim obecnym i potencjalnym klientom, że ich dane są chronione i nie będą wykorzystywane do żadnych celów, w odniesieniu do których nie została udzielona wyraźna zgoda.
ISO 27701 - System zarządzania informacją o prywatności
ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
ISO/IEC 27701 to rozszerzenie do norm ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji i ISO/IEC 27002 Zasady Zabezpieczania Informacji, które dotyczą kwestii zarządzania prywatnością informacji.
Ten międzynarodowy system zarządzania prywatnością, jest przewodnikiem po prywatności informacji, wyjaśniającym jak organizacja powinna zarządzać danymi osobowymi i wspierać działanie zgodnie z przepisami dotyczącymi prywatności na całym świecie.
Norma ISO/IEC 27701 przeznaczona jest dla wszystkich rodzajów organizacji, publicznych i prywatnych: firm, urzędów czy organizacji non-profit.
W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają informacje o prywatności jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.
ISO/IEC 27005
ISO/IEC 27005 jest jedną z kilkunastu norm z rodziny ISO/IEC 27000 stanowiących zestaw narzędzi dotyczących cyberryzyka, z których wiodąca jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (Information technology – Security techniques – Information security management systems – Requirements).
Standard ISO/IEC 27005 dostarcza wskazówek do zastosowania podejścia do zarządzania ryzykiem w bezpieczeństwie informacji odpowiedniego do wszystkich organizacji.
Na skróty:
ISO 27017 i 27018
ISO 27701
ISO/IEC 27005
ISO 27001 - System zarządzania bezpieczeństwem informacji
Norma i wdrożenie ISO 27001
Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.
W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.
Od bezpieczeństwa do normy ISO 27001
Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Wymagania związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:
> poufność,
> integralność,
> dostępność.
W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.
Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.
Sposób wdrożenia ISO 27001
Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.
Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.
Trzeba pamiętać, że analiza (pod kątem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.
Jednocześnie kierownictwo może świadomie określić:
> politykę bezpieczeństwa informacji zgodną z ISO 27001,
> podział odpowiedzialności związanych z bezpieczeństwem informacji,
> niezbędne szkolenia w dziedzinie bezpieczeństwa informacji,
> zasady zgłaszania przypadków naruszenia bezpieczeństwa,
> zasady zarządzania ciągłością działania firmy.
Korzyści ISO 27001
Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich:
> minimalizacja ryzyka związanego z utratą danych (także wskutek ich kradzieży),
> znaczące podniesienie prestiżu przedsiębiorstwa – zarówno Klienci, jak i Kontrahenci z pewnością docenią dbałość o zachowanie jak najwyższych standardów bezpieczeństwa danych,
> gwarancja zgodności realizowanych strategii z wymogami prawnymi,
> możliwość podjęcia natychmiastowych reakcji w przypadku wykrycia jakichkolwiek zmian bądź nieprawidłowości.
ISO 27017 i 27018 - System zarządzania bezpieczeństwem informacji w chmurze
Technologia informacyjna – techniki bezpieczeństwa – Kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 związanej z usługami w chmurze.
Norma ISO/IEC 27017 stosowana z serią norm ISO/IEC 27001 zapewnia dostawcom usług w chmurze i klientom korzystającym z usług w chmurze kontroli wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. W przeciwieństwie do wielu innych norm związanych z technologią, w ramach normy ISO/IEC 27017 określono role i odpowiedzialności strony, aby pomóc zapewnić bezpieczeństwo i ochronę usług w chmurze na poziomie, porównywalnym z zawartych poziomem bezpieczeństwa w certyfikowanym systemie zarządzania informacjami.
W ramach normy zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii:
> zakres odpowiedzialności podmiotów w relacjach między dostawcami danych w chmurze a klientami korzystającymi z chmury,
> usunięcie/zwrot aktywów po rozwiązaniu umowy,
> ochrona i oddzielenie środowiska wirtualnego klienta,
> konfiguracja maszyny wirtualnej,
> działania i procedury administracyjne związane z środowiskiem przetwarzania danych w chmurze,
> monitorowanie działań w chmurze klientów korzystających z usług przetwarzania danych w chmurze,
> dostosowanie środowiska sieci wirtualnej i środowiska chmury obliczeniowej.
Norma ISO/IEC 27018, stosowana wraz z ISO/IEC 27001, została opublikowana, aby Dostawcy Usług w Chmurze, których infrastruktura posiada certyfikat zgodności z normą, mogli powiedzieć swoim obecnym i potencjalnym klientom, że ich dane są chronione i nie będą wykorzystywane do żadnych celów, w odniesieniu do których nie została udzielona wyraźna zgoda.
ISO 27701 - System zarządzania informacją o prywatności
ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
ISO/IEC 27701 to rozszerzenie do norm ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji i ISO/IEC 27002 Zasady Zabezpieczania Informacji, które dotyczą kwestii zarządzania prywatnością informacji.
Ten międzynarodowy system zarządzania prywatnością, jest przewodnikiem po prywatności informacji, wyjaśniającym jak organizacja powinna zarządzać danymi osobowymi i wspierać działanie zgodnie z przepisami dotyczącymi prywatności na całym świecie.
Norma ISO/IEC 27701 przeznaczona jest dla wszystkich rodzajów organizacji, publicznych i prywatnych: firm, urzędów czy organizacji non-profit.
W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają informacje o prywatności jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.
ISO/IEC 27005
ISO/IEC 27005 jest jedną z kilkunastu norm z rodziny ISO/IEC 27000 stanowiących zestaw narzędzi dotyczących cyberryzyka, z których wiodąca jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (Information technology – Security techniques – Information security management systems – Requirements).
Standard ISO/IEC 27005 dostarcza wskazówek do zastosowania podejścia do zarządzania ryzykiem w bezpieczeństwie informacji odpowiedniego do wszystkich organizacji.
ISO 27001 - System zarządzania bezpieczeństwem informacji
Norma i wdrożenie ISO 27001
Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.
W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.
Od bezpieczeństwa do normy ISO 27001
Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Wymagania związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:
> poufność,
> integralność,
> dostępność.
W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.
Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.
Sposób wdrożenia ISO 27001
Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.
Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.
Trzeba pamiętać, że analiza (pod kątem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.
Jednocześnie kierownictwo może świadomie określić:
> politykę bezpieczeństwa informacji zgodną z ISO 27001,
> podział odpowiedzialności związanych z bezpieczeństwem informacji,
> niezbędne szkolenia w dziedzinie bezpieczeństwa informacji,
> zasady zgłaszania przypadków naruszenia bezpieczeństwa,
> zasady zarządzania ciągłością działania firmy.
Korzyści ISO 27001
Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich:
> minimalizacja ryzyka związanego z utratą danych (także wskutek ich kradzieży),
> znaczące podniesienie prestiżu przedsiębiorstwa – zarówno Klienci, jak i Kontrahenci z pewnością docenią dbałość o zachowanie jak najwyższych standardów bezpieczeństwa danych,
> gwarancja zgodności realizowanych strategii z wymogami prawnymi,
> możliwość podjęcia natychmiastowych reakcji w przypadku wykrycia jakichkolwiek zmian bądź nieprawidłowości.
ISO 27017 i 27018 - System zarządzania bezpieczeństwem informacji w chmurze
Technologia informacyjna – techniki bezpieczeństwa – Kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 związanej z usługami w chmurze.
Norma ISO/IEC 27017 stosowana z serią norm ISO/IEC 27001 zapewnia dostawcom usług w chmurze i klientom korzystającym z usług w chmurze kontroli wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. W przeciwieństwie do wielu innych norm związanych z technologią, w ramach normy ISO/IEC 27017 określono role i odpowiedzialności strony, aby pomóc zapewnić bezpieczeństwo i ochronę usług w chmurze na poziomie, porównywalnym z zawartych poziomem bezpieczeństwa w certyfikowanym systemie zarządzania informacjami.
W ramach normy zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii:
> zakres odpowiedzialności podmiotów w relacjach między dostawcami danych w chmurze a klientami korzystającymi z chmury,
> usunięcie/zwrot aktywów po rozwiązaniu umowy,
> ochrona i oddzielenie środowiska wirtualnego klienta,
> konfiguracja maszyny wirtualnej,
> działania i procedury administracyjne związane z środowiskiem przetwarzania danych w chmurze,
> monitorowanie działań w chmurze klientów korzystających z usług przetwarzania danych w chmurze,
> dostosowanie środowiska sieci wirtualnej i środowiska chmury obliczeniowej.
Norma ISO/IEC 27018, stosowana wraz z ISO/IEC 27001, została opublikowana, aby Dostawcy Usług w Chmurze, których infrastruktura posiada certyfikat zgodności z normą, mogli powiedzieć swoim obecnym i potencjalnym klientom, że ich dane są chronione i nie będą wykorzystywane do żadnych celów, w odniesieniu do których nie została udzielona wyraźna zgoda.
ISO 27701 - System zarządzania informacją o prywatności
ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
ISO/IEC 27701 to rozszerzenie do norm ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji i ISO/IEC 27002 Zasady Zabezpieczania Informacji, które dotyczą kwestii zarządzania prywatnością informacji.
Ten międzynarodowy system zarządzania prywatnością, jest przewodnikiem po prywatności informacji, wyjaśniającym jak organizacja powinna zarządzać danymi osobowymi i wspierać działanie zgodnie z przepisami dotyczącymi prywatności na całym świecie.
Norma ISO/IEC 27701 przeznaczona jest dla wszystkich rodzajów organizacji, publicznych i prywatnych: firm, urzędów czy organizacji non-profit.
W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają informacje o prywatności jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.
ISO/IEC 27005
ISO/IEC 27005 jest jedną z kilkunastu norm z rodziny ISO/IEC 27000 stanowiących zestaw narzędzi dotyczących cyberryzyka, z których wiodąca jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (Information technology – Security techniques – Information security management systems – Requirements).
Standard ISO/IEC 27005 dostarcza wskazówek do zastosowania podejścia do zarządzania ryzykiem w bezpieczeństwie informacji odpowiedniego do wszystkich organizacji.