Standardy

Standardy bezpieczeństwa informacji, jakości usług informatycznych, ciągłości działania

ISO/IEC 27001:2005

ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission). Polski Komitet Normalizacyjny wydał krajowy odpowiednik standardu: PN-ISO/IEC 27001:2007.

Norma określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI, ang. ISMS – Information Security Management System) oraz 11 obszarów mechanizmów kontrolnych obejmujących:

•   politykę bezpieczeństwa
•   organizację bezpieczeństwa
•   zarządzanie aktywami
•   bezpieczeństwo zasobów ludzkich
•   bezpieczeństwo fizyczne i środowiskowe
•   zarządzanie systemami i sieciami
•   kontrolę dostępu
•   pozyskiwanie, rozwój i utrzymanie systemów informatycznych
•   zarządzanie incydentami bezpieczeństwa
•   zarządzanie ciągłością działania
•   zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi

Powyższy standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym.

ISO/IEC 20000:2005

Norma ISO/IEC 20000 wydana w 2005 roku definiuje wytyczne i wymagania do budowy systemów zarządzania usługami IT. Standard określa procesy, których zdefiniowanie i wdrożenie w organizacji pozwala na kompleksowe uregulowanie obszaru IT — począwszy od zarządzania usługami, poprzez zarządzanie infrastrukturą, konfiguracją, wydajnością, do kwestii rozliczeń finansowych. Norma definiuje zbiór najważniejszych procesów IT, związanych m.in. z :

•   zarządzaniem i raportowaniem poziomu usług
•   zarządzaniem dostępnością, pojemnością oraz ciągłością działania
•   zarządzaniem bezpieczeństwem informacji
•   budżetowaniem i rozliczaniem kosztów IT
•   zarządzaniem konfiguracją i zmianą
•   zarządzaniem relacjami z otoczeniem (klienci / dostawcy)

Norma ISO 20000 to pierwsza międzynarodowa norma w powyższym zakresie. Zbudowano ją w oparciu o bibliotekę ITIL, która jest zbiorem najlepszych praktyk – wytycznych zarządzania usługami IT.
W efekcie standard ISO/IEC 20000 jest idealnym dokumentem odniesienia do budowy systemu zarządzania jakością usług informatycznych i doskonale uzupełnia wymagania ISO 9001, pozwalając na w pełni procesowe opisanie usług IT.

BS 25999-2:2007

BS 25999 jest brytyjskim standardem w zakresie zarządzania ciągłością działania (ang. BCM – Business Continuity Management), który powstał na podstawie ISO/PAS 56:2003 – zbioru dobrych praktyk w tym obszarze. Standard BS 25999-1:2006 zawiera wytyczne do systemowego zarządzania ciągłością działania, ponadto funkcjonuje również standard BS 25999-2:2007 określający wymagania dla certyfikacji systemu.
Efektem spełnienia wymagań tego standardu jest system zarządzania – udokumentowany zestaw procedur, planów i instrukcji, pozwalający organizacji na utrzymanie określonej odporności na negatywne zdarzenia. BS 25999-1:2006 reguluje następujące obszary:

•    polityka i cele zarządzania ciągłością działania
•    proces zarządzania ciągłością zapewniający systemowe podejście
•    analiza działalności przez pryzmat ryzyka
•    strategia zarządzania ciągłością działania będąca odpowiedzią na istniejące ryzyka
•    opracowanie i wdrożenie środków ochrony (m.in. BCP, DRP) wynikające z realizacji strategii
•    testowanie, zarządzanie i przegląd technicznych i organizacyjnych środków ochrony (przede
     wszystkim planów awaryjnych)
•    budowa świadomości pracowników i podmiotów współpracujących

Standard BS 25999 przychodzi z pomocą w zbudowaniu organizacji odpornej, w przyjętym i znanym zakresie, na ryzyka utraty zdolności funkcjonowania. Umożliwia zmodyfikowanie sposobu zarządzania organizacją uwzględniając zarówno krytyczność procesów, jak i wymagania klientów w odniesieniu do niezawodności. Zdolność zapewnienia ciągłości funkcjonowania niezależnie od zachodzących zdarzeń jest jednym z istotnych elementów przewagi konkurencyjnej i budowania silnej marki.


Rejestr certyfikatów ISO/IEC 27001, ISO/IEC 20000, BS 25999 przyznanych organizacjom w Polsce
Wprowadzenie Wstęp Standardy Integracja systemów FAQ Podstawy FAQ ISO/IEC 20000 FAQ ISO/IEC 27001 FAQ BS 25999 Rejestr Weryfikacja Najnowsze Rejestr certyfikatów Statystyki Dodanie certyfikatu Wyszukiwanie	Standardy bezpieczeństwa informacji, jakości usług informatycznych, ciągłości działania ISO/IEC 27001:2005 ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission). Polski Komitet Normalizacyjny wydał krajowy odpowiednik standardu: PN-ISO/IEC 27001:2007. Norma określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI, ang. ISMS – Information Security Management System) oraz 11 obszarów mechanizmów kontrolnych obejmujących: • politykę bezpieczeństwa • organizację bezpieczeństwa • zarządzanie aktywami • bezpieczeństwo zasobów ludzkich • bezpieczeństwo fizyczne i środowiskowe • zarządzanie systemami i sieciami • kontrolę dostępu • pozyskiwanie, rozwój i utrzymanie systemów informatycznych • zarządzanie incydentami bezpieczeństwa • zarządzanie ciągłością działania • zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi Powyższy standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym. ISO/IEC 20000:2005 Norma ISO/IEC 20000 wydana w 2005 roku definiuje wytyczne i wymagania do budowy systemów zarządzania usługami IT. Standard określa procesy, których zdefiniowanie i wdrożenie w organizacji pozwala na kompleksowe uregulowanie obszaru IT — począwszy od zarządzania usługami, poprzez zarządzanie infrastrukturą, konfiguracją, wydajnością, do kwestii rozliczeń finansowych. Norma definiuje zbiór najważniejszych procesów IT, związanych m.in. z : • zarządzaniem i raportowaniem poziomu usług • zarządzaniem dostępnością, pojemnością oraz ciągłością działania • zarządzaniem bezpieczeństwem informacji • budżetowaniem i rozliczaniem kosztów IT • zarządzaniem konfiguracją i zmianą • zarządzaniem relacjami z otoczeniem (klienci / dostawcy) Norma ISO 20000 to pierwsza międzynarodowa norma w powyższym zakresie. Zbudowano ją w oparciu o bibliotekę ITIL, która jest zbiorem najlepszych praktyk – wytycznych zarządzania usługami IT. W efekcie standard ISO/IEC 20000 jest idealnym dokumentem odniesienia do budowy systemu zarządzania jakością usług informatycznych i doskonale uzupełnia wymagania ISO 9001, pozwalając na w pełni procesowe opisanie usług IT. BS 25999-2:2007 BS 25999 jest brytyjskim standardem w zakresie zarządzania ciągłością działania (ang. BCM – Business Continuity Management), który powstał na podstawie ISO/PAS 56:2003 – zbioru dobrych praktyk w tym obszarze. Standard BS 25999-1:2006 zawiera wytyczne do systemowego zarządzania ciągłością działania, ponadto funkcjonuje również standard BS 25999-2:2007 określający wymagania dla certyfikacji systemu. Efektem spełnienia wymagań tego standardu jest system zarządzania – udokumentowany zestaw procedur, planów i instrukcji, pozwalający organizacji na utrzymanie określonej odporności na negatywne zdarzenia. BS 25999-1:2006 reguluje następujące obszary: • polityka i cele zarządzania ciągłością działania • proces zarządzania ciągłością zapewniający systemowe podejście • analiza działalności przez pryzmat ryzyka • strategia zarządzania ciągłością działania będąca odpowiedzią na istniejące ryzyka • opracowanie i wdrożenie środków ochrony (m.in. BCP, DRP) wynikające z realizacji strategii • testowanie, zarządzanie i przegląd technicznych i organizacyjnych środków ochrony (przede wszystkim planów awaryjnych) • budowa świadomości pracowników i podmiotów współpracujących Standard BS 25999 przychodzi z pomocą w zbudowaniu organizacji odpornej, w przyjętym i znanym zakresie, na ryzyka utraty zdolności funkcjonowania. Umożliwia zmodyfikowanie sposobu zarządzania organizacją uwzględniając zarówno krytyczność procesów, jak i wymagania klientów w odniesieniu do niezawodności. Zdolność zapewnienia ciągłości funkcjonowania niezależnie od zachodzących zdarzeń jest jednym z istotnych elementów przewagi konkurencyjnej i budowania silnej marki.	Aktualności Niewielka świadomość zagrożeń w sieci Według wyników badania przeprowadzonego przez Microsoft z okazji ósmego międzynar... Więcej... Krytyczne poprawki Adobe, Oracle i Microsoft Adobe wypuściło aktualizację Flash Playera, która naprawia 7 luk bezpieczeństwa uznany... Więcej... Newsletter Sondaż Czy wykorzystują Państwo specjalistyczne oprogramowanie do prowadzenia analizy ryzyka? Nie prowadzimy regularnej analizy ryzykaNie i nie planujemy korzystania z takiego oprogramowaniaNie, ale planujemy zakup takiego oprogramowaniaJesteśmy w trakcie wdrożenia takiego rozwiązaniaTak, wykorzystujemy specjalistyczne oprogramowanie do zarządzania ryzykiem
---reklama---
copyright by PBSG Sp. z o.o.

Standardy bezpieczeństwa informacji, jakości usług informatycznych, ciągłości działania

Czy wykorzystują Państwo specjalistyczne oprogramowanie do prowadzenia analizy ryzyka?