ISO 27007, czyli audyt ISMS

0
74

Według ISO/IEC rzecz jasna.

Mało jakoś w naszej branżowej prasie informacji o rozwoju systemów zarządzania bezpieczeństwem informacji zgodnie z ISO … napisałbym 27000, ale mamy pewien problem, norma o tym numerze została wydana w sierpniu więc zrobił się mały problem. Mam nadzieję, że Czytelnik wybaczy mi nieco uproszczeń, serię nazwę dla odmiany 27K. K od określenia tysiąc, o tyle prosto zapamiętać, że w czasach młodości, mocno już odległych, tysiąc był określany mianem kafla lub koła. Więc polskim czytelnikom powinno się kojarzyć dobrze.

Ale nie o kaflach dziś, a o bardzo poważnej normie, tym razem ISO 27007. Zastanawia mnie, że organizacje duże, zajmujące się wdrożeniami czy tez certyfikacją na zgodność ISMS, a po polsku SZBI (systemów zarządzania bezpieczeństwem informacji) nieco o niej milczą. Ale nie mnie oceniać, czy milczeć powinny, czy rzucić się do tłumaczenia i szkolenia, jak to było przy BS 25999. Choć niesmak pozostaje. W kilku artykułach postaram się nieco przedstawić normę, która powinna nam pomóc w audytowaniu systemów zarządzania bezpieczeństwem informacji.

Ode mnie, po kilku czytaniach leciwej już normy (ma ponad rok) nie zostałem zaskoczony, założenia już dawno są w naszym MAB (Metodyka Audytu Bezpieczeństwa), a same rozwiązania… cóż, mocno zbliżone do druku znanego ze szkoleń, czy audytów – “kryteria_wymagania”.

Jako, że ISMS jest oparty o normę ISO 27001 a w wymaganiach jest określonych 8 rozdziałów… nie.. niestety. Tylko 7 “weszło” do 27007. Kończymy audyt ISMS na wymaganiach oznaczonych 7. Ja postaram się nieco dalej pójść – jak tylko czas i możliwości pozwolą, przedstawię Czytelnikom pewne wytyczne związane z audytowanie systemu nie tylko poszerzone o 8. ale również o cały załącznik A. A jest tam 15 grup zabezpieczeń. Zapraszam do śledzenia bloga, strony Instytutu oraz B+.