Nowe wydanie normy ISO/IEC 27001

Nowe wydanie normy ISO/IEC 27001

Zmiany w Systemach Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001

 

Systemy Zarządzania Bezpieczeństwem Informacji zostały stworzone, aby chronić dane w firmach i organizacjach z nimi współpracujących. Do zadań SZBI należy nie tylko zachowanie prywatności (poufności), ale także zapewnienie jednolitości i czytelności danych.

 

Stare przysłowie mówi, że ‘wiedza to siła’, dlatego systemy zarządzania, które mają za zadanie chronić ‘wiedzę’ organizacji są ważnym i silnym narzędziem.

 

Systemy Bezpieczeństwa Informacji są przeznaczone nie tylko dla firm mającym związek z technologiami informacyjnymi gdyż informacja może być przechowywana na wiele sposobów. 

 

Na przykład SZBI sprawdza zarówno poziom zabezpieczeń fizycznych (takich jak drzwi, okna, zamki, bramy) jak i aspekt ludzki (w tym badania przesiewowe i zapewnienie odpowiedniego dostępu do informacji poufnych).

 

ISO/IEC 27001 nie został stworzony, aby odstraszyć labiryntem technologicznych pojęć, ani zachęcać do zachowań ‘szpiegowskich’. Jest zaprojektowany, jako przewodnik dla organizacji, jak chronić dane, zarówno własne jak i swoich klientów.

 

ISO/IEC 27001:2013 Technika informatyczna - Techniki bezpieczeństwa - System Zarządzania Bezpieczeństwem Informacji – Wymagania (pełna nazwa standardu) został wprowadzony w październiku 2013 i zastępuje pierwszą wersję standardu, wprowadzoną w 2005 roku.

 

ISO/IEC 27002 (Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji), kolejna cenna norma została, także została zaktualizowana. Chociaż jest to tylko zbiór wytycznych, (co oznacza, że nie można go auditować), to dostarcza wielu wyjaśnień do klauzul, kontroluje i pomaga nawet najbardziej doświadczonym audytorom w niektórych z trudniejszych elementów standardu.

 

Czy poprzednia wersja standardu jest całkiem przestarzała?

 

ISO/IEC 27001:2005 nie zdezaktualizowało się z dnia na dzień. Podobnie jak w przypadku innych standardów, które zostały zrewidowane, te organizacje, które są obecnie certyfikowane na podstawie pierwotnego standardu, będą mieć "okres przejściowy", aby uaktualnić swoje istniejące certyfikaty do nowego standardu. W tym konkretnym przypadku "okres przejściowy" trwa do 30 września 2015 roku.

 

ISOQAR przygotował wytyczne dla wszystkich dotychczasowych klientów certyfikujących ISO/IEC 27001:2005 i naszych audytorów w celu ustalenia najbardziej odpowiednich działań i ram czasowych dla tych firm, które będą musiały uaktualnić swoje procedury, na wizytacjach w ramach przeglądu.

 

Każda firma, która obecnie rozpoczyna proces certyfikacji SZBI będzie automatycznie certyfikowana zgodnie z wymaganiami normy z 2013 roku. Planujemy wydawać pierwsze certyfikaty zgodne z normą ISO/IEC 27001:2013 od marca 2014 roku.

 

Jakie zmiany wprowadza aktualizacja normy?

ISO/IEC 27001 można podzielić na 3 obszary: klauzule od 0 do 3, klauzule od 4 do 10 i załącznika A.

Klauzule 0 do 3 

Główną zmianą w ramach klauzul od 0 do 3 jest to, że od firmy nie jest już wymagane, aby opierała swój SZBI na modelu PDCA. Nastąpiła również zmiana definicji ryzyka.

Firmy mają teraz swobodę wyboru podejścia procesowego, dobierają takie, które najbardziej im odpowiada. Cykl PDCA nadal może być wybrany, jeśli jest odpowiedni dla firmy.

Ryzyko definiuje się obecnie, jako "efekt niepewności osiągnięcia celów", chociaż definicja ta nie znajduje się bezpośrednio w standardzie, to jest przytoczona w "ISO/IEC 27000 Przegląd i Słownictwo” którego norma dotyczy. Dodatkowo, ryzyko niekoniecznie musi być silnie związane z zasobami informacyjnymi.

Klauzule od 4 do 10 

Klauzule od 4 do 10 są przeredagowane pod kątem zgodności z załącznikiem SL (formalnie ISO Guide 83) - nowym "wzorcem" dla wszystkich norm dotyczących systemów zarządzania. Zmian dokonano w celu usprawnia i uproszczenia poprzednich klauzul od 4 do 8. Mają one ułatwić integrację różnych standardów.

Klauzula 4 wymaga od firmy podczas tworzenia SZBI wzięcia pod uwagę "kontekstu organizacji" (jest to zmiana z załącznika SL i będzie miała zastosowanie do wszystkich norm dotyczących systemów zarządzania). Kontekst organizacji zawiera w sobie kwestie zewnętrzne i wewnętrzne oraz skupia się na interesach zainteresowanych stron i zgodności z aspektami prawnymi.

Klauzula 5.2 jasno określa wymagania polityki SZBI. Zmiany sprawiają, że wymogi polityki SZBI są bardziej spójne z innymi standardami i nawiązują do celów. 

Cele (klauzula 6.2) są jaśniej określone w nowej wersji i są silniej powiązane z działaniami zapobiegawczymi, oceną ryzyka i planami postępowania z ryzykiem i mechanizmami kontroli.

W nowej wersji jasno przedstawione są zależności, "kontekst organizacji" prowadzi do celów. Ocena ryzyka wskazuje "efekt niepewności osiągnięcia celów". Działania prewencyjne są określone w planie postępowania z ryzykiem, co prowadzi do celów stosowania zabezpieczeń i zabezpieczeń określonych w Załączniku A (i / lub w innych źródłach). Są one wymienione w ‘Warunkach stosowania’. 

ISO/IEC 27001:2013 nadal wymaga od firmy brania pod uwagę Zabezpieczeń wymienionych w Załączniku A, ale mogą wybrać do identyfikacji inne "z dowolnego źródła".

Zasada dotycząca tego, że audytor wewnętrzny nie audituje swojej własnej pracy została zniesiona (co powinno pomóc małym firmom). 

Ponadto obowiązkowa procedura "Dokumentowania informacji" teraz łączy wymagania "Nadzoru nad dokumentacją" oraz "Nadzoru nad zapisami".

Załącznik A

W Załączniku A zaszły istotne usprawnienia i poprawy. Zniknęły niektóre powtórzenia i niejasne zabezpieczenia. 

Obecnie jest mniej zabezpieczeń rozłożonych na więcej celów. Chociaż wiele zabezpieczeń pozostało bez zmian albo jest bardzo podobnych często wspierają one różne cele, więc nacisk mógł ulec zmianie. 

Prawdopodobnie docenicie Państwo fakt, że zmian w standardzie jest o wiele więcej i są zbyt liczne, by wymienić je tylko w tym artykule, dlatego ich pełna lista jest dostępna dla klientów ISOQAR do porównania z poprzednią wersją normy. 

Dobrą praktyką dla wszystkich firm jest wykonywanie przeglądu zabezpieczeń i Deklaracji Stosowania (SOA), co najmniej raz w roku. ISO/IEC 27001:2013 jest dobrym ‘ćwiczeniem’ do przeglądu i oceny obu dokumentów.

 

Podsumowanie

Podsumowując, zmiany wprowadzone w ISO?IEC 27001:2013 są uproszczeniem standardu i dostosowaniem go do reszty norm dotyczących systemów zarządzania i sprawiają, że cele są bardziej taktyczne niż strategiczne. Jest mało prawdopodobne, aby organizacje które już posiadają certyfikat ISO/IEC 27001:2005 ucierpiały z powodu zmian - w rzeczywistości mogą one spojrzeć na SZBI jako na bardziej logiczny System. Mamy nadzieję, że dla tych, którzy chcą uzyskać certyfikat po raz pierwszy, system okaże się naprawdę jasny i czytelny.

 

 

Zadzwoń pod numer +48 22 649 76 64 i zapytaj o to jakie kroki musisz podjąć w swojej firmie aby uzyskać certyfikat ISO/IEC 27001.

Skontaktuj się z nami

„Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informujemy, iż Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa.  Państwa dane osobowe przetwarzane będą w celach kontaktowych niezbędnych do realizacji usługi, zgodnie z obowiązującymi przepisami prawa na podstawie art. 6 ust. 1 lit. f RODO.„

>>Wyrażam zgodę na przetwarzanie moich danych osobowych przez ISOQAR CEE sp. z o.o jako administratora danych osobowych, w celach otrzymywania informacji handlowych i marketingowych wysyłanych na podany adres e-mail na podstawie art. 6 ust. 1 lit. a RODO. Więcej informacji w Polityka prywatności

Polityka prywatności

Klauzula informacyjna w zakresie przetwarzania danych osobowych na potrzeby newsletter

W związku z obowiązywaniem od dnia 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, str. 1), zwanego dalej „rozporządzeniem RODO”, informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

  2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

  3. Pani/Pana dane osobowe będą przetwarzane w celach wysyłki i otrzymywania newslettera.

  4. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie wyrażonej przez Panią/Pana zgody (podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO

  5. Pani/Pana dane osobowe będą przetwarzane do czasu cofnięcia przez Panią/Pana zgody. 

  6. Odbiorcą Pani/Pana danych osobowych będą podmioty, którym Administrator zleca wykonywanie czynności, z którymi wiąże konieczność przetwarzania danych (podmioty przetwarzające) oraz podmioty publiczne na podstawie odrębnych przepisów prawa. 

  7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu prawo dostępu do treści danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. 

  8. Ma Pani/Pan prawo do cofnięcia zgody na przetwarzanie Pani/Pana danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  9. W przypadku uznania, że przetwarzanie przez Administratora Pani/Pana danych osobowych narusza przepisy Rozporządzenia ma Pani/Pan prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). 

  10. Podanie przez Panią/Pana danych osobowych jest dobrowolne, jednak jest warunkiem wysyłki newslettera.

  11. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany, nie będą poddawane profilowaniu.

  12. Pani/Pana dane osobowe mogą być przekazywane do państwa trzeciego (UK).

Klauzula informacyjna zapytanie ofertowe

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:

1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną:  iod@isoqar.pl

3. Pani/Pana dane osobowe przetwarzane będą w celu:

•             odpowiedzi na zapytanie ofertowe na podstawie art. 6 ust. 1 lit. f RODO

więcej informacji pod linkiem

•             kontaktu w celu przekazania informacji marketingowych i handlowych na podstawie art. 6 ust. 1 lit. a RODO

•             w celu realizacji prawnie uzasadnionego interesu Spółki, polegającego na ewentualnym ustaleniu lub dochodzeniu roszczeń lub obronie przed roszczeniami, na podstawie prawnie uzasadnionego interesu Spółki (art. 6 ust. 1 lit. f RODO).

4. Odbiorcą Pani/Pana danych osobowych będą wspólnicy i pracownicy Administratora w zakresie swoich obowiązków służbowych na podstawie upoważnienia.

5. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego ani organizacji międzynarodowej;

6. Pani/Pana dane osobowe będą przechowywane do czasu zakończenia współpracy lub do czasu cofnięcia przez Pani/Pana zgody.

7. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do przenoszenia danych.

8. Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego- Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;

9. Podanie przez Pana/Panią danych osobowych jest dobrowolne, jednak konieczne w celu realizacji przedmiotu umowy/ jest konieczne w związku z przepisami szczególnymi ustawy (przetwarzanie danych osobowych jest wymogiem ustawowym). W przypadku niewyrażenia zgody na przetwarzanie danych osobowy, Administrator może zrezygnować z zawarcia umowy.

10. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania tzn. żadne decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływające nie będą oparte wyłącznie na automatycznym przetwarzaniu danych osobowych i nie wiążą się z taką automatycznie podejmowaną decyzją.