Biblioteka Główna Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie

Punkt Informacji Normalizacyjnej posiada Świadectwo Stosowania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami normy:

PN-EN ISO/IEC 27001:2017-06.

Dokumenty: 

 Polityka Bezpieczeństwa Informacji PIN BG AGH

 Regulamin  Korzystania z usług Oddziału Zbiorów Specjalnych

 

Co to jest ISO/IEC 27001?

Informacja ma zasadnicze znaczenie dla podejmowanych działań, a może nawet dla przetrwania organizacji.

Certyfikat ISO/IEC 27001 pomaga w zarządzaniu cennymi zasobami informacji i chronieniu ich. ISO/IEC 27001 to jedyna poddawana audytom norma międzynarodowa, która określa wymogi dotyczące systemów zarządzania bezpieczeństwem informacji. Norma ta została opracowana w celu zapewnienia wyboru adekwatnych i proporcjonalnych środków bezpieczeństwa. Pomaga to w ochronie zasobów informacji i daje pewność wszystkim zainteresowanym stronom.

Międzynarodowa norma ISO/IEC 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

Norma ISO/IEC 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA tj. Plan – Do – Check – Act ), który jest stosowany dla całej struktury procesów SZBI.

Schemat Plan-Do-Check-Act czyli " Zaplanuj-Wykonaj-Sprawdź-Popraw"

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.

Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma ISO/IEC 27001 dotyczy każdej organizacji, dużej i małej, z dowolnej branży i dowolnej części świata. Norma ta jest szczególnie przydatna tam, gdzie ochrona informacji ma znaczenie zasadnicze, na przykład w sektorach finansów, opieki medycznej, publicznym i informatycznym. Norma ISO/IEC 27001 jest także efektywna w przypadku organizacji, które zarządzają informacjami w czyimś imieniu, na przykład podwykonawców usług informatycznych. Może służyć do zapewnienia klientów, że ich informacje są odpowiednio chronione.

System Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS Information Security Management System) zgodny z ISO/ IEC 27001 określa wymagania oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji:

• polityka bezpieczeństwa informacji;
• organizacja bezpieczeństwa informacji;
• zarządzanie aktywami;
• bezpieczeństwo osobowego;
• bezpieczeństwo fizyczne i środowiskowe;
• zarządzanie systemami i sieciami;
• kontrola dostępu;
• uzyskiwanie, rozwój i utrzymanie systemów informacyjnych;
• zarządzanie incydentami związanymi z bezpieczeństwem informacji;
• zarządzanie ciągłością działania;
• zgodność.

Rodzina norm z serii ISO/IEC 27000 „Technika informatyczna. Techniki bezpieczeństwa … " obejmuje:

• ISO/IEC 27000 (PN-EN ISO/IEC 27000:2020-07)  Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia / Information technology - Security techniques - Information security management systems - Overview and vocabulary

• ISO/IEC 27001 (PN-EN ISO/IEC 27001:2017-06) Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania / Information technology - Security techniques - Information security management systems - Requirements

  Jest to jedyna norma która stanowi podstawę do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji;

• ISO/IEC 27002 (PN-EN ISO/IEC 27002:2023-01)   Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Zabezpieczanie informacji / Information security, cybersecurity and privacy protection -- Information security controls

• ISO/IEC 27003 Information technology - Security techniques - Information security management systems - Guidance

• ISO/IEC 27004 (PN-ISO/IEC 27004:2017-07) Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie bezpieczeństwem informacji -- Monitorowanie, pomiary, analiza i ocena. Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation

• ISO/IEC 27005 (PN-ISO/IEC 27005:2014-01) Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji / Information technology -- Security techniques -- Information security risk management

• ISO/IEC 27006 (PN-EN ISO/IEC 27006:2021-05) Technika informatyczna -- Techniki bezpieczeństwa -- Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji / Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

Źródło:
www.bsigroup.pl/pl/Auditowanie-i-certyfikacja/Systemy-zarzadzania/Normy-i-programy/ISO-IEC-27001/ 
http://www.iso.org.pl/uslugi-zarzadzania/wdrazanie-systemow/zarzadzanie-ryzykiem/iso-iec-27001/