Od ISO 27001:2005 do ISO 27001:2013 - wymagane zmiany

Od ISO 27001:2005 do ISO 27001:2013 - wymagane zmiany

Przedsiębiorstwa, które uzyskały certyfikat zgodności z ISO/IEC 27001:2005 muszą podjąć działania na rzecz spełnienia nowych wymagań. Mimo, że norma została opublikowana w 2013 r., w Polsce dotychczas niewiele organizacji zdecydowało się na zmiany. Wynikało to między innymi z braku polskiego tłumaczenia. To pojawiło się w grudniu 2014 r. Należy więc oczekiwać, że w 2015 roku znacząca liczba przedsiębiorstw będzie wprowadzać zmiany w swoich systemach.

Do najpoważniejszych zmian stojących przed przedsiębiorstwami należy zaliczyć określenie kontekstu organizacji. Organizacje muszą jednoznacznie określić przyczyny stosowania standardu i korzyści, jakich oczekują. Powinny wskazać znaczenie bezpieczeństwa informacji oraz określić metody zwiększenia zaangażowania kierownictwa oraz poziomu motywacji załogi.

Modyfikacja metodologii oceny ryzyka w kierunku stałego procesu służącego postępowaniu z czynnikami ryzyka zwiększy obciążenie stanowisk pracy związanych z zarządzaniem systemem. W dotychczasowym ujęciu szacowanie ryzyka było działaniem okazjonalnym. Teraz ma stać się jednym z kryteriów podejmowania decyzji o funkcjonowaniu firmy.

Wprowadzenie nowego poziomu celów bezpieczeństwa informacji może się okazać początkowo trudne ze względu na brak planów doskonalenia systemu w wielu przedsiębiorstwach. Należy jednak zauważyć, że norma nie wymaga, aby każda komórka organizacyjna miała własne cele w tym zakresie. Można zatem przyjąć, że początkowo wystarczy określenie jednego lub kilku głównych kierunków zmian.

Więcej pracy przysporzy także rozszerzenie obowiązków w zakresie monitorowania, pomiaru, analizy i oceny systemu. Konieczność oceny skuteczności zapobiegania czynnikom ryzyka oraz wykorzystywania szans będzie wymagała zwiększenia odpowiedzialności spoczywającej na właścicielach czynników ryzyka i osobach odpowiedzialnych za wykorzystanie szans.

Pewnych trudności mogą przysporzyć także nowe wymagania związane z identyfikacją wszystkich zainteresowanych stron, integracją z procesami biznesowymi oraz komunikacją. Jednak w przypadku dobrze zarządzanych firmy, które jednocześnie posiadają certyfikat ISO/IEC 9001, może się okazać, że wymagania te są już spełnione.

Ze względu na zmianę listy zabezpieczeń oraz zmianę zasad pomiaru ich skuteczności, znaczącej zmianie ulegną deklaracje stosowania zabezpieczeń. Ten podstawowy dokument SZBI będzie musiał zostać napisany w dużej mierze od nowa, co będzie działaniem pracochłonny. Dodatkowym utrudnieniem może być zmiana zakresu systemu spowodowana identyfikacją nowych zainteresowanych stron i rozszerzeniem kontekstu.

Do małych i łatwych do wprowadzenia zmian zaliczyć należy:

  • wprowadzenie udokumentowanej informacji w miejsce dokumentów i zapisów,
  • modyfikację polityki bezpieczeństwa informacji,
  • uproszczenia w prowadzeniu oceny ryzyka,
  • zmiany w zakresach odpowiedzialności,
  • zwiększenie roli najwyższego kierownictwa,
  • działania w zakresie świadomości bezpieczeństwa informacji,
  • zmiany w procesie audytu,
  • zmiany w procesie przeglądu zarządzania,
  • zmiany w zakresie działań korygujących,
  • rozszerzenie możliwości w zakresie doskonalenia systemu.

Należy oczekiwać, że wymagania te są aktualnie w dużej mierze spełnione przez przedsiębiorstwa posiadające certyfikowany system ISO/IEC 27001:2005. Konieczne jest jedynie dostosowanie dokumentacji lub nieznaczne zmodyfikowanie procesów.

Polecane źródła zewnętrzne:

Zdjęcie: SparkFun Electronics, Flicker.com, CC