Norma ISO 22301 (BS25999)

Nieprzerwane działanie w przypadku zakłóceń, czy to wielkiej katastrofy, czy małego incydentu, jest fundamentalnym wymogiem dla każdej organizacji. ISO 22301 powsto na bazie brytyjskiego standardu BS 25999, pierwszej na świecie normie zarządzania ciągłością działania (BCM) opracowana w celu zminimalizowania ryzyka takich zakłóceń.

Pomagając we wdrażaniu podstaw systemu BCM, norma ta ma na celu zagwarantowanie działania Państwa firmy w najbardziej wymagających i niespodziewanych sytuacjach — w ten sposób ma chronić Państwa personel i reputację oraz podtrzymywać zdolność do dalszego działania i handlu.

Norma została opracowana przez dużą grupę światowej klasy ekspertów reprezentujących wszystkie sektory rynku i administrację państwową w celu ustanowienia procesu, zasad i terminologii zarządzania ciągłością działania.

Stanowi ona podstawę dla zrozumienia, rozwoju i wdrożenia ciągłości działania w Państwa organizacji i daje pewność w relacjach z innymi firmami i z klientami. Obejmuje też wszechstronny zestaw narządzi kontroli opartych na najlepszych praktykach BCM, które można stosować w całym cyklu BCM.

Kogo to dotyczy?

Norma dotyczy każdej organizacji, dużej i małej, z dowolnego sektora. W szczególności dotyczy organizacji, które działają w środowiskach obciążonych dużym ryzykiem, takich jak finanse, telekomunikacja, transport i sektor publiczny, w których ciągłość operacji ma kluczowe znaczenie dla samej organizacji oraz dla jej klientów i udziałowców.

Norma ISO 27001

System Zarządzania Bezpieczeństwem Informacji (ang. ISMS - Information Security Management System) - norma międzynarodowa standaryzująca bezpieczeństwo wymiany informacji. Może obejmować całą organizację lub jej części.

W swojej budowie i działaniu ISMS jest zbliżony do systemu zarządzania jakością według normy ISO 9001 (stosuje model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA)). Istotą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz implementacja odpowiedniego nadzoru i zarządzania niezbędnego do zachowania poufności, integralności oraz dostępności danych. Podstawowy cel ISO 27001 to ochrona informacji przed bezpowrotna utratą, zniszczeniem, uszkodzeniem lub też przed dostaniem się w "niepowołane ręce".

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem ISMS, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami ISMS, przeglądami ISMS oraz ciągłym doskonaleniem ISMS. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania ISMS jest określenie metody oraz przeprowadzenie analizy ryzyka.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A). Załącznik A jest obligatoryjny, zawiera jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji (cele stosowania zabezpieczeń i zabezpieczenia):

  1. Polityka bezpieczeństwa;
  2. Organizacja bezpieczeństwa informacji;
  3. Zarządzanie aktywami;
  4. Bezpieczeństwo zasobów ludzkich;
  5. Bezpieczeństwo fizyczne i środowiskowe;
  6. Zarządzanie systemami i sieciami;
  7. Kontrola dostępu;
  8. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
  9. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  10. Zarządzanie ciągłością działania;
  11. Zgodność.

Kogo to dotyczy?

ISO/IEC 27001 dotyczy każdej organizacji, niezależnie od i jej wielkości, rodzaju prowadzonej działalności oraz bez względu na jej unikatowość. Norma ta jest szczególnie przydatna tam, gdzie ochrona informacji ma znaczenie zasadnicze, a więc zwłaszcza w sektorach: finansów, opieki medycznej, publicznym i informatycznym.