Normy serii ISO 27000

W dzisiejszych czasach bezpieczeństwo nabrało nowego znaczenia. Jak zabezpieczyć się od ryzyka utraty, wycieku danych, pieniędzy? Z pewnością pomogą w tym normy rodziny ISO 27000, które stanowią podstawę bezpiecznego systemu zarządzania bezpieczeństwem informacji.

Nowa norma ISO/IEC 27001 zmienia się w 2022r. Okres przejściowy na jej wdrożenie jako aktualizację systemu bezpieczeństwa informacji (SZBI, ang. ISMS) będzie wynosił 36 m-cy. Oznacza to, że za 3 lata jednostki certyfikujące będą już przeprowadzały audyty zgodnie z nową wersją normy ISO/IEC 27001:2022.

Rodzina norm ISO 27000 zapewnienia
bezpieczeństwo zasobów informacyjnych w każdej organizacji.

ISO/IEC 27001 i ISO/IEC 27001 są powszechnie znanymi normami i zawierają wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI, ang. ISMS). Korzystanie z nich umożliwia organizacjom zarządzanie bezpieczeństwem aktywów, takich jak informacje finansowe, własność intelektualna, dane pracowników lub informacje powierzone przez osoby trzecie.

Nowa wersja normy ISO/IEC 27002:2022 została opublikowana w lutym 2022r.
Wkrótce pojawi się też nowe wydanie ISO/IEC 27001:2022.
Nowe wydania norm pociągają za sobą przeglądy i aktualizacje kilkunastu standardów w rodzinie ISO/IEC 27000

Zobacz też:
jak wdrożyć ISO/IEC 27001 – system zarządzania bezpieczeństwem Informacji
szkolenia ISO 27001 – wymagania normy, Pełnomocnik, Audytor SZBI
ISO/IEC 27001 online – checklisty, dokumentacja, przewodniki

A co z pozostałymi normami z rodziny ISO 27000?

Aktualizacje powiązanych norm serii ISO 27xxx (np. ISO 27017, 27018, 27701, 27799) w dużej mierze zależą od ich początkowej daty wydania, po standardowym 5-letnim cyklu przeglądu. Podobnie jak w przypadku ISO 27002, która została wydana w 2018 r., może to zająć kolejne 3 do 4 lata, zaczynając od następnej daty przeglądu.

Poniżej prezentujemy przegląd norm z rodziny ISO 27000, ich status i przewidywane daty wydania

Przegląd norm serii ISO 27000:

ISO 27017:2015

ISO/IEC
27017

ISO/IEC 27017 zawiera wytyczne dotyczące zasad bezpieczeństwa informacji mających zastosowanie do świadczenia i korzystania z usług w chmurze, zapewniając:
– dodatkowe wytyczne wdrożeniowe dla odpowiednich kontroli określonych w ISO/IEC 27002;
– dodatkowe środki zabezpieczeń wraz ze wskazówkami wdrożeniowymi, które odnoszą się konkretnie do usług w chmurze.
Wytyczyne te zapewniają wytyczne i wskazówki dotyczące wdrażania zarówno dla dostawców usług w chmurze, jak i klientów usług w chmurze.
Ten standard był ostatnio sprawdzany i potwierdzony w 2021 roku. Dlatego ta wersja pozostaje aktualna.

ISO 27018:2019

ISO/IEC
27018

Norma ISO/IEC 27018 ustanawia powszechnie akceptowane cele stosowania zabezpieczeń, zabezpieczenia i wytyczne dotyczące wdrażania środków w celu ochrony danych osobowych (PII – Personally Identifiable Information) zgodnie z zasadami prywatności w ISO/IEC 29100 dla środowiska przetwarzania w chmurze publicznej.
Standard ISO 27018 określa wytyczne oparte na normie ISO/IEC 27002, z uwzględnieniem wymagań regulacyjnych dotyczących ochrony danych osobowych, które mogą mieć zastosowanie w kontekście ryzyka bezpieczeństwa informacji dostawcy usług chmury.
ISO 27018 ma zastosowanie do wszystkich organizacji świadczących usługi przetwarzania informacji jako podmioty przetwarzające dane osobowe za pośrednictwem przetwarzania w chmurze na podstawie umów z innymi organizacjami.
Wytyczne zawarte w tej normie mogą również dotyczyć organizacji działających jako kontrolerzy PII. Administratorzy danych osobowych mogą jednak podlegać dodatkowym przepisom, regulacjom i obowiązkom w zakresie ochrony danych osobowych, które nie mają zastosowania do podmiotów przetwarzających dane osobowe. Niniejszy dokument nie ma na celu pokrycia takich dodatkowych zobowiązań.
Oczekuje na sprawdzenie w 2024, zatem może zostać zaktualizowana.

Zobacz podobne Cyberbezpieczeństwo - dyrektywy UE i wymagania prawne

ISO 27701:2019

ISO/IEC
27701

ISO/IEC 27701 to rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności. Określa wymagania związane z PIMS i zawiera wskazówki dla zabezpieczeń PII i podmiotów przetwarzających PII ponoszących odpowiedzialność i odpowiedzialność za przetwarzanie PII. Norma ISO/IEC 27701 ma zastosowanie do wszystkich organizacji, które są administratorami danych osobowych i/lub podmiotami przetwarzającymi dane osobowe przetwarzającymi dane osobowe w ramach SZBI.
Oczekuje na sprawdzenie w 2024, wówczas okaże się czy będzie zaktualizowana.

ISO 27799:2016

ISO/IEC
27799

ISO 27799 zawiera wytyczne dotyczące standardów bezpieczeństwa informacji w organizacji i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania bezpieczeństwem z uwzględnieniem ryzyka bezpieczeństwa informacji w organizacji.
Standard ISO 27799 zawiera wytyczne dotyczące wdrażania mechanizmów bezpieczeństwa opisanych w ISO/IEC 27002 i uzupełnia je w razie potrzeby, tak aby można je było skutecznie wykorzystywać do zarządzania bezpieczeństwem informacji zdrowotnych. Dzięki wdrożeniu normy ISO 27799:2016 organizacje opieki zdrowotnej i inni opiekunowie informacji zdrowotnych będą w stanie zapewnić minimalny wymagany poziom bezpieczeństwa, który jest odpowiedni do okoliczności ich organizacji i zachowa poufność, integralność i dostępność danych osobowych dotyczących zdrowia znajdujących się pod ich opieką.
Odnosi się do informacji o zdrowiu we wszystkich jej aspektach, bez względu na formę informacji (słowa i liczby, nagrania dźwiękowe, rysunki, wideo i obrazy medyczne), bez względu na sposób ich przechowywania (drukowanie lub pisanie na papierze lub przechowywanie w formie elektronicznej), i jakimikolwiek środkami są używane do jej przesyłania (ręcznie, faksem, przez sieci komputerowe lub pocztą), ponieważ informacje są zawsze odpowiednio chronione.
ISO 27799 i ISO/IEC 27002 definiują wymagania w zakresie bezpieczeństwa informacji w opiece zdrowotnej, ale nie określają w jaki sposób te wymagania mają być spełnione. Oznacza to, że w możliwie najszerszym zakresie ISO 27799:2016 jest neutralna pod względem technologicznym. Ważną cechą jest neutralność w zakresie wdrażania technologii.
Znajomość ISO/IEC 27002 jest niezbędna do zrozumienia ISO 27799:2016. Natomiast niektóre obszary bezpieczęństwa informacji nie są objęteme zakresem ISO 27799. Są to:
a) metodologie i testy statystyczne skutecznej anonimizacji danych osobowych dotyczących zdrowia,
b) metodologie pseudonimizacji osobistych informacji o stanie zdrowia,
c) jakość usług sieciowych i metody pomiaru dostępności sieci wykorzystywanych w informatyce zdrowotnej,
d) jakość danych.
Norma ISO 27799 zostanie zaktualizowana w 2025 roku.

Zobacz podobne Zarządzanie ryzykiem w bezpieczeństwie informacji wg ISO/IEC 27005:2018

NEN 7510:2017

NEN
7510

NEN to holenderska fundacja, która koncentruje się na normalizacji, opracowała normę NEN 7510 specjalnie dla bezpieczeństwa informacji w opiece zdrowotnej. Standard obejmuje poufnymi danymi na dużą skalę w sektrze opieki zdrowotnej. Powstał on, aby Pacjenci i klienci mogli polegać na bezpiecznym przetwarzaniu swoich danych.
Norma NEN 7510 pomaga świadczeniodawcy lub świadczeniodawcy usług opieki zdrowotnej w strukturalnej organizacji i poprawie bezpieczeństwa informacji. W niektórych przypadkach stosowanie normy jest nawet obowiązkowe z mocy prawa.
Wersja NEN 7510:2017, składa się z dwóch części:
Część 1 (NEN 7510-1) koncentruje się na opracowaniu ISMS (Systemu Zarządzania Bezpieczeństwem Informacji): strukturalnego, opartego na ryzyku podejścia do zagwarantowania dostępności, integralności i poufności informacji. Ta część jest oparta na normie ISO 27001.
Część 2 (NEN 7510-2) łączy z tym określone środki kontroli: są one oparte na międzynarodowych normach ISO/IEC 27002 i ISO 27799. W porównaniu z normami ISO, te normy NEN skupiają się w szczególności na ochronie danych osobowych dotyczących zdrowia.
Oczekuje na wydanie ISO 27799, prawdopodobnie zostanie zaktualizowana w 2025 lub 2026 roku.

ISO/IEC 27004:2017

ISO/IEC
27004

Norma ISO 27004 pozwala organizacjom ocenić wyniki dotyczące bezpieczeństwa informacji i skuteczności systemu zarządzania bezpieczeństwem informacji w celu spełnienia wymagań normy ISO/IEC 27001. W szczególności odnosi się do:
a) monitorowania i pomiaru wyników dotyczących bezpieczeństwa informacji,
b) monitorowania i pomiaru skuteczności systemu zarządzania bezpieczeństwem informacji (SZBI) włączając w to jego procesy i zabezpieczenia,
c) analizę i ocenę wyników monitorowania i pomiarów.
Jako, że norma ISO/IEC 27004 jest ściśle powiązana z ISO/IEC 27001, zostanie zaktualizowana w ciągu 2 -3 lat.

ISO/IEC 27005:2022

ISO/IEC
27005

ISO 27005 zawiera wytyczne dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji. ISO/IEC 27005 jest uzupełnieniem ISO/IEC 27001 i ISO/IEC 27002. Standard zawiera wskazówki pomagające:
— spełniać wymagania normy ISO/IEC 27001 dotyczące działań związanych z ryzykiem związanym z bezpieczeństwem informacji;
— wykonywanie działań związanych z zarządzaniem ryzykiem związanym z bezpieczeństwem informacji, w szczególności oceną i postępowaniem z ryzykiem związanym z bezpieczeństwem informacji.
ISO 27705 które zamierzają zarządzać ryzykiem mogącym zagrozić bezpieczeństwu informacji organizacji. Obecnie wersja 2022 jest w trakcie budowy i pownna zostać opublikowana jeszcze tym roku. Zatem na razie obowiązuje wersja normy z 2018r.

Zobacz podobne PN-ISO/IEC 29100:2017 - Technika informatyczna - Techniki bezpieczeństwa - Ramy prywatności

ISO/IEC 27006

ISO/IEC
27006

Tu należy w spomnieć o dwóch częściach normy:
ISO/IEC 27006-1
ISO/IEC 27006-2
Obie części dotyczą wymagania dla jednostek certyfikujących i audytujących systemy zarządzania bezpieczeństwem informacji. Część druga dotyczy systemów zarządzania informacjami dotyczącymi prywatności.
ISO/IEC 27006-1 jest fazie draftu końcowego, czyli zostanie wkrótce opublikowana, natomiast ISO/IEC 27006-2 jest w formie projektu i jej droga do publikacji jest nieco dłuższa niż jej pierwszej części. Dopóki nie zsotaną opublikowane obie części, nadal obowiązuje wersja ISO/IEC 27006:2015, której przeglądu dokonano w 2020 roku.

ISO/IEC 27007:2020

ISO/IEC
27007

Norma ISO/IEC 27007 określa wytyczne dotyczące zarządzania programem audytu systemu zarządzania bezpieczeństwem informacji (ISMS), przeprowadzania audytów oraz kompetencji audytorów ISMS, oprócz wytycznych zawartych w ISO 19011.
Najnowsza rewizja tej normy została opublikowana w styczniu 2020 roku, zatem zostanie przeglądanięta i zaktualizowana do 2025r.

ISO/IEC 27008:2019

ISO/IEC
27008

ISO/IEC 27008 to wytyczne dotyczące przeglądu i oceny wdrożenia i działania mechanizmów kontroli bezpieczeństwa informacji, w tym oceny technicznej mechanizmów bezpieczeństwa systemu informacyjnego, zgodnie z ustalonymi przez organizację wymaganiami bezpieczeństwa informacji, w tym zgodności technicznej z kryteriami oceny opartymi na wymaganiach bezpieczeństwa informacji ustanowionych przez organizacja.
Obecna wersja z 2019r. powinna zostać zaktulizowana w 2024r.

Istenieje jeszcze wiele norm serii ISO 27001. Można by je wumieniać długo, jednak wszystkie odnoszą się do poszczególnych obszarów dwóch podstawowych norm ISO/IEC 27001 oraz ISO/IEC 27002.

Technologia bezpieczeństwa nadal szybko się rozwija, a tempo tej zmiany jest obecnie mierzone w miesiącach, a nie latach. W przeciwieństwie do tego, chociaż podlegają one okresowym przeglądom, oczekuje się, że normy serii ISO/IEC 27000 pozostaną ważne przez lata. Co równie ważne, neutralność technologiczna pozostawia dostawcom i usługodawcom swobodę proponowania nowych lub opracowywania technologii, które spełniają niezbędne wymagania opisane w normach serii ISO 27000.

Obserwuj nas!
Już wkrótce opublikujemy artykuły o tym jakie nastąpiły zmiany w normie ISO 27001 i jak zaktualizować system zarządzania bezpieczeństwem informacji