ISO/IEC 27007 vs ISO 19011

0
35

Pierwszy artykuł z cyklu – audyt systemów SZBI (systemów zarządzania bezpieczeństwem informacji) prowadzonych na podstawie normy ISO/IEC 27007. Niniejszy cykl oparty jest o oryginalne wydanie normy, w języku angielskim, polskiej niestety nie ma, dlatego mogą pojawić się drobne różnice słownikowe i językowe. Niemniej istotą niniejszego cyklu jest przedstawienie zasad audytowania SZBI, a nie dokładne tłumaczenie normy, dlatego mam nadzieję, że Czytelnicy mi wybaczą.

Od czego zacząć…

Tytuł artykułu jest bardzo wymowny i pokazuje podstawy, jakie należy posiadać, aby podejść do kwestii audytu SZBI i określić go mianem zgodnego z ISO/IEC 27007. Podstawami tymi jest znajomość normy ISO 19011:2011, w Polsce wprowadzonej PN-EN ISO 19011:2012.

UWAGA – ważne. Norma ta jest bardzo świeża, opublikowana pod koniec listopada 2012 i wiele osób jeszcze nie zauważyło jej wprowadzenia (czy też zmiany). Najważniejsza zmiana widoczna jest już w tytule a odnosi się do obszaru stosowania. W tytule PN-EN ISO 19011:2012 nie znajdziemy już uszczegółowienia systemów zarządzania, do których się odnosi. Tytuł teraz brzmi “Wytyczne dotyczące auditowania systemów zarządzania”. Więcej w innym artykule, który zostanie poświęcony wprost podstawom audytu prowadzonego w oparciu o ISO 19011.

Wracając do audytu SZBI zgodnego z ISO 27007. Poza ISO 19011:2011, norma powołuje się jeszcze na dwie normy:

ISO/IEC 27001:2005 w Polsce wprowadzona PN-ISO/IEC 27001:2007 – Technika informatyczna – techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (norma najważniejsza chyba w całej rodzinie – określa wymagania dla systemu konieczne do spełnienia, aby stworzyć system zgodny z ISO 27001, co również jest podstawą certyfikacji – oczywiście jeśli ktoś potrzebuje).

ISO/IEC 27000:2009 w Polsce wprowadzona PN-ISO/IEC 27000:2012 – Technika informatyczna –  techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia. UWAGA: też nowa norma, opublikowana pod koniec sierpnia 2012.

ISO/IEC 27007 vs ISO 19011

Audytowanie systemów zarządzania bezpieczeństwem informacji jest bardzo mocno oparte o zasady przewidziane dla wszystkich systemów zarządzania. Jest to pewne potwierdzenie kierunku rozwoju systemów bezpieczeństwa (zarządzania bezpieczeństwem) o którym piszę od wielu lat. Bezpieczeństwo jest działaniem wspomagającym, więc powinno być opracowane i wdrażane na podstawie zasad obowiązujących w organizacji. Ta idea jest bardzo mocno widoczna w ISO/IEC 27007. Jest to bardzo dobry kierunek rozwoju SZBI, dlatego, że w firmie, w której wdrożony zostanie jakikolwiek system zarzadzania (czy jakość, czy środowisko, czy BHP) kierownictwo firmy będzie już wiedziało i znało zasady zarządzania i audytowania takich systemów. Łatwiej będzie o audytorów wewnętrznych, a jednocześnie mniej pracy trzeba poświęcić na wdrożenie, tłumaczenie, szkolenie – wszak zasady te same.

Cóż… nawał pracy w święta, nowe naprawdę szybkie zlecenie uniemożliwia wywiązanie się z terminu – opisu 27007 do końca roku. 31 zdajemy raport, więc myślę, że styczeń będzie dobrym czasem na uzupełnienie materiału. Czytelników przepraszam, ale ciekawe projekty rozwijają. Więc nie mogłem się oprzeć.