CIS - MIĘDZYNARODOWA JEDNOSTKA CERTYFIKUJĄCA SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Aby otrzymywać najnowsze informacje o naszych szkoleniach, imprezach i konferencjach dołącz do naszej listy mailingowej:

Vi Sympozjum Bezpieczeństwa Informacji, 14 kwietnia 2010, Wiedeń
W środę 14 kwietnia 2010 w pałacyku Kursalon w Wiedniu odbyło się coroczne, VI z kolei Sympozjum Bezpieczeństwa Informacji jednostki CIS-Cert.

Intranet

ISO 27001

to podlegający certyfikacji standard, zawierający specyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Działa jako podstawa podczas oceny zgodności Systemu Zarządzania Bezpieczństwem Informacji (SZBI - ang. ISMS - Information Security Management System) w całej organizacji lub jej części. Normę można wykorzystać jako podstawę sformalizowanej procedury ceryfikacyjnej.

Istotnym elementem normy ISO 27001 jest opis służący do budowania i utrzymania SZBI:

Aby możliwe było określenie specyficznych i optymalnych celów i działań związanych z bezpieczeństwem, organizacja musi w pierwszej kolejności przeprowadzic analizę ryzyka, następnie wdrożenie i przystosowanie do własnych wymagań. Po ich identyfikacji konieczne jest ich zrozumiałe udokumentowanie i stosowanie w odniesieniu do wszystkich osób działających na rzecz organizacji. Dokumenty te muszą być do dyspozycji kierownictwa, pracowników i określonych niezależnych stron (np. audytorzy wewnętrzni, audytorzy certyfikujący itd.).

Udokumentowane cele i działania bezpieczeństwa, dokumentacji polityki bezpieczeństwa i procedur, tak samo jak wszystkie inne zapisy istotne dla bezpieczeństwa informacji (BI), są określane jako System Zarządzania Bezpieczeństwem Informacji w organizacji.

Załącznik A normy ISO 27001 odnosi sie do struktury normy ISO 17799 i stanowi wytyczne dla zarządzania bezpieczeństwem informacji. Wykaz celów stosowania zabezpieczeń zawarty w tej części nie jest wszakże wyczerpujący. Ze względu na specyfikę organizacji może pojawić się konieczności uściślenia kolejnych celów stosowania zabezpieczeń.

Organizacja powinna posiadać przynajmniej jednego pracownika biegłego w problematyce SZBI, który mogłby w efektywny sposób współpracować przy wdrażaniu systemu i finalnej certyfikacji. Będąc ogniwem komunikacyjnym z kierownictwem organizacji, mógłby współuczestniczyć w utrzymaniu i doskonaleniu systemu. Specjalnie w tym celu stworzony został program szkoleniowy "Menadżer BI" (bezpieczeństwa informacji), stanowiący część oferty szkoleniowej jednostki CIS - Certification & Information Security Services.

Jakie korzyści przyniesie Państwu certyfikacja ISO 27001?

Zmapowanie struktury informacyjnej organizacji, wraz z infrastrukturą, budynkiem, środowiskiem wraz ze wszystkimi praktycznymi aspektami począwszy od systemu alarmowego, poprzez ochronę przecipożarową po kontrolę dostępu
Uefektywnienie i stworzenie brakujących procesów, także tych spoza obszaru bezpieczeństwa informacji
Uświadomienie sobie ryzyk związanych z bezpieczeństwem
Rozpoczęcie aktywnej i efektywnej ochrony przed czynnikami ryzyka
Ochrona najistoniejszych wartości w firmie - samej istoty organizacji
Ciągła optymalizacja systemu - regularne audyty
Obniżenie kosztów i zwiększenie wydajności
Reprezentatywny graficznie certyfikat o najwyższym standardzie przyznany przez uzaną w świecie jednostkę w dowolnej wersji językowej
Przewagę nad konkurencją
Powiększenie grona klientów
Zaufanie rynku

Historia / rozwój standardów ISO 17799 / ISO 27001

1987	Początki normy ISO 17799 / ISO 27001 sięgają 1987 roku. Wówczas w Wielkiej Brytanii w Ministerstwie handlu i przemysłu urochomiono Commercial Computer Security Center (CCSC) - CCSC nadzorował dwa główne zagadnienia w tematyce bezpieczeństwa informacji:
1989	Pierwsze polegało na stworzeniu międzynarodowo uznawanego zbioru reguł do oceny kryteriów bezpieczeczeństwa wraz ze schematem dla produktów o aspektach bezpieczeństwa. W ten sposób stworzono podstawy dla ITSEC i schematu „UK ITSEC”.
1989	Drugie polegało na udostępnieniu użytkownikom zbioru praktycznych działań związanych z bezpieczeństwem. Wynikiem było wydany po raz pierwszy w 1989 roku „Users Code of Practice”.
	Cele CCSC
1990 - 1995	„Users Code of Practice” został rozwnięty przez National Computing Center (NCC) a później przez konsorcjum, które tworzyli reprezentanci przemysłu brytyjskiego. Celem było stworzenie dzieła z preambułami efektywność i stosowalność oraz naciskiem na ciągłą aktualizację wzrastających wymagań.
1995	Efekt końcowy był najpierw opublikowany jako „British Standard’s guidance” - dokument PD 0003 o nazwie roboczej „Code of practice for information security management”. Po sporządzeniu właściwych procedur z tego dokumentu powstał standard BS 7799:1995.
1998	Druga część BS7799-2:1998 została dołączona w lutym 1998. Po obszernej przeróbce oraz po publicznych konsultacjach trwających od listopada 1997, w kwietniu 1999 została obublikowana pierwsza wersja rewizji BS 7799:1999.
1999 - 2000	Część 1 BS 7799 w 1999 roku została zaprojektowana jako część ISO. W październiku 2000 roku dokonano ośmiu drobnych zmian, opublikowanych następnie jako norma ISO/IEC 17799:2000 w grudniu 2000 roku.
2002	W tym roku BSI/DISC opracowało również część 2, która miała umożliwić kryteriom audytowym standaryzację ISO. BS 7799-2 została opublikowana w nowym wydaniu.
2005	Opublikowano normę ISO 17799:2005.
2005	Opublikowano normę ISO 27001, drobne zmiany w stosunku do BS7799-2:2002.
2007	W styczniu 2007 PKN opublikował polską normę PN-ISO/IEC 27001:2007