Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomań[email protected]Plan Prezentacji ISO/IEC 27001:2013 budowa ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013 Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011 Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji i zarządzania usługami WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 2013.11.28 (c) BSz Strona 1 z 19
19
Embed
Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 3 z 19
6. Planowanie
6.1 Działania dla zajmowania się ryzykiem o i możliwościami
6.1.1 Wprowadzenie
6.1.2. Ocena ryzyka w bezpieczeństwie informacji
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie
6.2 Cele bezpieczeństwa informacji i plany do ich osiągnięcia
(c) B.Sz 72013-11-27
6.1.2. Ocena ryzyka w bezpieczeństwie informacji ~4.2.1
Organizacja powinna zdefiniować i wdrożyć proceso oceny bezpieczeństwa informacji który
ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie • informacji zawierające
o Kryteria akceptowania ryzykao Kryteria dla przeprowadzenie oceny ryzyka
zapewni że powtarzalna ocena ryzyka w bezpieczeństwie o informacji uzyska znaczące, ważne i powtarzalne wyniki
Zidentyfikuje ryzyka w bezpieczeństwie informacjio Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych o z utratą poufności, integralności i dostępności w zakresie o Systemu zarządzania bezpieczeństwem informacji
(c) B.Sz 82013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 4 z 19
6.1.2
Przeanalizuje ryzyka w bezpieczeństwie informacjio oceniając potencjalne konsekwencje jakie wystąpią jeżeli
• ryzyka zidentyfikowane w 6.1.2 się zmaterializują
o Oceni realne prawdopodobieństwo wystąpienia ryzyk • zidentyfikowanych w 6.1.2 i
o Określi Poziom tych ryzyk
Oszacuje ryzyka w bezpieczeństwie informacjio porówna wyniki analizy ryzyka z kryteriami ustanowionymi w
• Pkt. 6.1.2
o określi priorytety ryzyk dla postępowania z ryzykiem
Organizacja powinna zachować udokumentowaną informację o procesie oceny ryzyka w bezpieczeństwie informacji
(c) B.Sz 92013-11-27
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie Informacji ~~ 4.2.1
Organizacja powinna zdefiniować i wdrożyć proces o postępowania z ryzykiem bezpieczeństwie informacji dla
Wybrania odpowiednich opcji w postępowania z o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki o oceny ryzyka
Ustalenia wszystkich zabezpieczeń które są potrzebne o dla wdrożenia wybranych opcji postępowania z ryzykiem w o bezpieczeństwa informacji
Porównania wyników w pkt. 6.1.3 powyżej o z podanymi w załączniku A i weryfikacji że niepotrzebne o zabezpieczenia będą ominięte
(c) B.Sz 102013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 5 z 19
6.1.3
Wykonania Deklaracji Stosowania która zawiera o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia o zabezpieczeń z załącznika A
Sformułowania planu postępowania z ryzykiem Uzyskania aprobaty właścicieli ryzyka dla planu
o postępowania z ryzykiem w bezpieczeństwie informacji
Organizacja powinna zachować udokumentowaną informację o procesie postępowania z ryzykiem w bezpieczeństwie informacji
(c) B.Sz 112013-11-27
7. Wsparcie
7.1 Zasoby ~~ 5.2.1
7.2. Kompetencje ~~ 5.2.2
7.3. Świadomość ~~ 5.2.2
(c) B.Sz 122013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 6 z 19
7.4. Komunikacja +
Organizacja powinna określić potrzebę wewnętrznej i o zewnętrznej komunikacji istotnej systemu zarządzania
o bezpieczeństwem informacji, a w tym
Co jest komunikowane;
Kiedy jest komunikowane;
Z kim jest prowadzona komunikacja
Kto powinien się komunikować
Proces na który wpływa komunikacja
(c) B.Sz 132013-11-27
7.5. Udokumentowana informacja ~~ 4.3
7.5.1 Wymagania ogólne
7.5.2. Opracowanie i aktualizowanie
7.5.3. Nadzór nad udokumentowaną informacją
(c) B.Sz 142013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 7 z 19
7.5.3
Udokumentowane informacje pochodzenia zewnętrznego uznane przez organizację za niezbędne
do planowania i funkcjonowania systemu zarządzania
bezpieczeństwem informacji powinny być zidentyfikowane
jako odpowiednie i nadzorowane.
(c) B.Sz 152013-11-27
8. Operacje 8.1 Planowanie i nadzorowanie operacji 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3 Organizacja powinna prowadzić ocenę ryzyka w
bezpieczeństwie informacji w planowanych odstępach lub kiedy istotne zmiany są proponowane lub nastąpią biorąc po uwagę kryteria ustanowione w 6.1.2
Organizacja powinna zachować udokumentowaną informację o wynikach oceny ryzyka w bezpieczeństwie informacji
8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3 Organizacja powinna prowadzić plan postępowania
z ryzykiem w bezpieczeństwie informacji
Organizacja powinna zachować udokumentowaną informację o wynikach planu postępowania z ryzykiem
(c) B.Sz 162013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 8 z 19
9. Ocena wykonania
9.1. Monitorowanie, pomiar analiza i ocena 4.2.3
9.2 Wewnętrzny audit ~~ 6
9.3. Przegląd realizowany przez kierownictwo 7
(c) B.Sz 172013-11-27
10. Doskonalenie ~~ 4.2.4
10.1 Niezgodności i działania korygujące
10.2 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić
o przydatność,
o adekwatność i
o skuteczność
o Systemu zarządzania bezpieczeństwem informacji
(c) B.Sz 182013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 9 z 19
Załącznik A Cele stosowania zabezpieczeń i zabezpieczeń
Załącznik A jest obligatoryjnyo ale
możliwe jest wyłączenie zabezpieczeń z tego załącznika
po podaniu uzasadnienia
Załącznik A stanowi podstawę do opracowania Deklaracji Stosowania
Załącznik A może być uzupełniony o inne zabezpieczenia
(c) B.Sz 192013-11-27
A.5. Polityka bezpieczeństwa =A5
A.5.1 Wskazówki dla kierownictwa o o bezpieczeństwie informacji [2]
(c) B.Sz 202013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 10 z 19
A.6. Organizacja bezpieczeństwa informacji
A. 6.1 Wewnątrz organizacji [5]+
A.6.1.5 Bezpieczeństwo informacji w zarządzaniu o Projektami {!}
A.6.2 Urządzenia mobilne i praca zdalna [2] ~~11.7
(c) B.Sz 212013-11-27
A.7. Bezpieczeństwo zasobów ludzkich A8
A.7.1 Przed zatrudnieniem~[2] A.8.1
A.7.2 Podczas zatrudnienia =[3] A.8.2
A.7.3 Zakończenie lub zmiana zatrudnienia ~~A.8.3 [1]
(c) B.Sz 222013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 11 z 19
A.8. Zarządzanie zasobami A7
A.8.1 Odpowiedzialność za zasoby A7.1 [4]+A8.3
A.8.2 Klasyfikacja informacji A7.2 [3]+ A.8.2.3 Utrzymanie zasobów
A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8
(c) B.Sz 232013-11-27
A.9. Kontrola dostępu A11
A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+ A.9.1.2 Dostęp do sieci i usług sieciowych
A.9.4 Kontrola dostępu do aplikacji i systemów ~~A.11.5 i A.11.6 [5]
(c) B.Sz 242013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 12 z 19
A.10 Kryptografia ^^^
A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2]
(c) B.Sz 252013-11-27
A.11. Bezpieczeństwo fizyczne i środowiskowe A.9
A.11.1 OBSZARY BEZPIECZNE =A9.1
A.11. Bezpieczeństwo fizyczne i środowiskoweA.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2
(c) B.Sz 262013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 13 z 19
A.12. Bezpieczeństwo operacyjne A.10
A.12.1 Procedury eksploatacyjne i zakresy o Odpowiedzialności = A.10.1
A.12.2 Ochrona przed złośliwym Oprogramowaniem ~~A.10.4 [1]
A.12.3 Kopie zapasowe = A.10.5 [1] A.12.4 Logowanie i monitorowanie A.10.10 [5] A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2 A.12.6 Zarządzanie podatnościami technicznymi [2]
~~A18.1+ A.12.5.3 A.12.7 Rozważania dotyczące audytu
o systemów informacyjnych [1] A15.3
(c) B.Sz 272013-11-27
A.13 Bezpieczeństwo komunikacji ^^
A.13.1 Zarządzanie bezpieczeństwem sieci [3] ~~~~A.11.4+A.10.6
A.13.2 Przekazywanie informacji [4] ~~ A.10.8+A6.1
(c) B.Sz 282013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 14 z 19
A.14. Pozyskiwanie, rozwój i utrzymanie systemu A.12
A.14.1 Wymagania bezpieczeństwa systemów o Informacyjnych A.12.1+A.10.9 [3]
A.14.2 Bezpieczeństwo w procesach o rozwojowych i obsługi informatycznej [9] ~~ A.12.5
A.14.2.1 Polityka bezpiecznego rozwoju A.14.2.2 Procedury kontroli zmian A.14.2.5 Zasady konstrukcji bezpiecznego systemu A.14.2.6 Bezpieczne środowisko projektowania A.14.2.8 Testowanie bezpieczeństwa systemu A.14.2.9 Testy akceptacyjne systemu
A.14.3 Dane testowe == A.12.4.3(c) B.Sz 292013-11-27
A 15 Stosunki z dostawcami ^^
A. 15.1 Bezpieczeństwo informacji w stosunkach z o Dostawcami ~~A.6.2 [2]+A10.8.1
A.15.1.3 Informacja i komunikacja w łańcuchu dostaw
A.15.2. Zarządzanie usługami dostarczonymi przez o Dostawców~~ A.10.2
(c) B.Sz 302013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 15 z 19
A.16. Zarządzanie incydentami w bezpieczeństwie informacji A13
A.16.1 Zarządzanie incydentami w o bezpieczeństwem informacji oraz doskonaleniemA13 [6]+
A.16.1.4 Ocena i decyzja dotycząca zdarzeń w o bezpieczeństwie informacji
(c) B.Sz 312013-11-27
A.17. Aspekty bezpieczeństwa informacji w Zarządzania ciągłością działania A14
A.17.1 Ciągłość działania w bezpieczeństwie o Informacji ~~ A.14.1 [3]
A.17.2 Nadmiarowość [1]
(c) B.Sz 322013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 16 z 19
A.18. Zgodność A 15
A.18.1 Zgodność z przepisami prawnymi i o wymaganiami kontraktowymi A.15.1 [5]
(c) B.Sz 332013-11-27
ISO/IEC 27001:2005 budowa0. wprowadzenie0.1 Postanowienia ogólne ~~0.2 Podejście procesowe #0.30,2 Zgodność z innymi systemami zarządzania ~~
1. Zakres normy ~~2. Powołania normatywne ~~3. Terminologia i definicje ISO/IEC 270004. System zarządzania bezpieczeństwem informacji 4,5,6, ISO 27003
5. Odpowiedzialność kierownictwa 56. Wewnętrzne audyty SZBI 9.27. Przegląd realizowany przez kierownictwo 9.38. Doskonalenie SZBI 10Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002)Załącznik. B. Zasady OECD #Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 #
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 17 z 19
Polskie tłumaczenia norm ISO rodziny 27000
PN ISO/IEC 27000:2012 Technika informatyczna -- Techniki bezpieczeństwa Terminologia systemów zarządzania bezpieczeństwem informacji
PN-ISO/IEC 24762 :2010 Technika informatyczna Techniki zabezpieczeń Wytyczne do technik informacyjnych i komunikacyjnych dla usług odtwarzania po katastrofie
Nowe tłumaczenia
PN ISO/IEC 27005:2013 Technika informatyczna
Techniki bezpieczeństwa
Zarządzanie ryzykiem w bezpieczeństwie informacji
PN-ISO/IEC 27006:2013 Technika informatyczna
Techniki bezpieczeństwa
Wymagania dla jednostek prowadzących audyt i
certyfikację systemów zarządzania bezpieczeństwem
informacji
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 18 z 19
Nowe tłumaczenia
PN-ISO/IEC 27013 Technika informatyczna
Techniki bezpieczeństwa
Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001
oraz ISO/IEC 20000-1
PN-ISO/IEC 20000-1:2013 Technika informatyczna
Zarządzanie usługami
Część 1: Wymagania dla systemu zarządzania usługami
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends