SZBI według ISO 27001

System zarządzania bezpieczeństwem informacji obejmuje swoim zakresem tworzenie polityki bezpieczeństwa na poziomie strategicznym, szacowanie ryzyka wystąpienia zagrożeń, określanie i wdrażanie zabezpieczeń służących wyeliminowaniu tych zagrożeń, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądu zarządzania. Znalazł on odzwierciedlenie w strukturze normy ISO 27001:2005, która składa się z dziewięciu rozdziałów.

Cztery pierwsze zawierają wprowadzenie, opis zakresu normy, odwołania do innych norm, a także terminy i definicje. Kluczowe rozdziały dotyczą zasad wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji, odpowiedzialności kierownictwa, audytu wewnętrznego, przeglądu dokonywanego przez kierownictwo oraz doskonalenia SZBI. Struktura ta odpowiada innym normom ustanawianym przez ISO związanym z systemami zarządzania. Wątpliwości może tu jednak budzić zasadność wyodrębnienia trzech ostatnich rozdziałów, zarówno biorąc pod uwagę kryterium objętości, jak i odrębności treści. W normie ISO 9001:2000 przegląd występuje jako punkt w rozdziale o odpowiedzialności kierownictwa, audyt zaś w rozdziale o dotyczącym doskonalenia i pomiarów, a należy zaznaczyć, że w obu normach są to te same narzędzia zarządzania systemem.

Kluczową częścią normy ISO 27001:2005 jest załącznik A, który zawiera listę zabezpieczeń podzielonych na grupy: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo personelu, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu do systemu, rozwój i utrzymanie systemu informacyjnego, zarządzanie incydentami bezpieczeństwa informacji, zarządzanie ciągłością działania, zapewnienie zgodności.

Grupy zabezpieczeń są ściśle związane z treścią normy ISO 27002 (poprzednio:ISO 17799:2005), w której można znaleźć szczegółowe wytyczne wdrażania i monitorowania zabezpieczeń. Należy przy tym zauważyć, że w wielu przypadkach norma ISO 27002 traktuje o systemie informatycznym, jednak w przypadku wdrażania systemu zarządzania bezpieczeństwem informacji, należy to interpretować szerzej, jako system informacyjny.

Norma ISO 13335, która składa się obecnie z dwóch arkuszy, stanowi tło dla wdrażania SZBI, gdyż dostarcza ogólnej wiedzy na temat modeli i koncepcji zarządzania systemami informacyjnymi. Prezentuje ona szereg aspektów bezpieczeństwa na różnych poziomach organizacji: korporacyjnym, międzywydziałowym, wydziałowym, czy w obszarze IT. Zawiera zarówno wytyczne do metodologii szacowania ryzyka, jak i szczegółowe zasady zabezpieczania systemów informatycznych.

Międzynarodowa Organizacja Normalizacyjna konstruując normy systemów zarządzania przestrzega zasad ich kompatybilności i komplementarności. Do najpopularniejszych norm z tego obszaru należą poza ISO 27001, także systemy zarządzania jakością, środowiskiem czy bezpieczeństwem pracy. Kompatybilność przejawia się poprzez stosowanie podobnych metod i narzędzi zarządzania, np. zasad nadzoru nad dokumentami i zapisami, tworzenia polityk organizacyjnych, prowadzenia przeglądów systemu zarządzania, audytów wewnętrznych, identyfikacji niezgodności (lub incydentów), działań korygujących i zapobiegawczych.

Takie podejście ułatwia jednoczesne wdrażanie systemów. Jednocześnie warto zauważyć, że w przypadku rozłącznej implementacji norm, najlepiej sprawdza się rozwiązanie, w którym jako pierwszy organizacja wprowadza system zarządzania jakością, który obejmuje całą firmę i przyzwyczaja pracowników do nowych metod pracy. Systemy zarządzania opracowywane przez ISO dobrze się uzupełniają, pozwalając na rozwijanie organizacji w kierunku koncepcji kompleksowego zarządzania jakością (TQM).