W dzisiejszym rozważaniu chciałbym poruszyć temat zarządzania przedsiębiorstwem w kontekście norm europejskich przyjętych przez kraje europejskie i opracowanych w celu wspomagania podstawowego zarządzania przedsiębiorstwem. Do ogólnie przyjętych i najpopularniejszych standardów wspomagających systemy zarządzania w przedsiębiorstwie możemy zaliczyć normy ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC 27001 oraz wiele innych. Chciałbym się dzisiaj skupić na ostatnim z wymienionych standardów, czyli normie PN-EN ISO/IEC 27001:2007 Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Wymagania.
Celem Naszego rozważania będzie przybliżenie Państwu wymagań jakie należy spełnić, aby ubiegać się o certyfikację Systemu Zarządzania Bezpieczeństwem Informacji. W pierwszej kolejności należy tutaj wspomnieć, iż możemy się spotkać zarówno w literaturze jak również w życiu codziennym z różnym nazewnictwem systemu wdrożonego w oparciu o wymagania normy ISO/IEC 27001. Powszechnie używaną nazwą owego systemu jest nazwa: System Zarządzania Bezpieczeństwem Informacji, w skrócie SZBI lub ISMS będący skrótem od angielskiego określenia Information Security Management System. Jeżeli spotkają się Państwo z takimi nazwami to proszę nie myśleć, że są to inne systemy. Te dwie nazwy oznaczają dokładnie to samo, a więc System Zarządzania oparty o wymagania normy ISO/IEC 27001. Tak więc możemy spotkać się z taką sytuacją, iż w naszej dokumentacji systemowej używamy określenia System Bezpieczeństwa Informacji, natomiast na certyfikacie wystawionym przez Jednostkę Certyfikującą będzie widniał wpis Information Security Management System. Nie jest to żaden błąd lub niezgodność, ponieważ obie nazwy są tożsame i obie funkcjonują formalnie w użyciu. To, jaka nazwa zostanie użyta na certyfikacie zależne jest od jednostki certyfikującej oraz jej wewnętrznych wytycznych.
Podobnie sprawa ma się z uszczegółowieniem nazewnictwa i numeracji normy ISO/IEC 27001. W powszechnym użyciu stosuje się różne kombinacje ze względu na przedrostek występujący przed numerem normy oraz numer występujący po dwukropku wskazujący na datę publikacji normy. I tak zgodnie ze schematem opisanym powyżej możemy spotkać następujące oznaczenia normy: ISO/IEC 27001:2005, EN ISO/IEC 27001:2005 oraz PN-EN ISO/IEC 27001:2007. Jak widzimy standard w wersji oryginalnej został opublikowany w roku 2005, natomiast w Polsce, (na co wskazuje przedrostek PN) standard został opublikowany w roku 2007. Taka rozbieżność w datach publikacji związana jest z prowadzeniem praca nad tłumaczeniem normy z języka oryginalnego na polski. Funkcjonuje również samo oznaczenie ISO/IEC 27001, które w domyśle wskazuje na użycie najbardziej aktualnego standardu w danym momencie, czyli w przypadku naszej normy publikacji z 2005 roku. Niezależnie od tego, którego oznaczenia normy wymienionego powyżej użyją Państwo w wdrażanej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji, będzie ono wskazywało na ten sam standard, czyli normę ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems – Requirements.
Normy użyte w publikacji:
PN-ISO/IEC 27001:2007 Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Wymagania
Autor: Marcin Pietrucha
