Home  ›  Aktualności  ›  Normy ISO/IEC 27000 obowiązujące w Polsce

Normy ISO/IEC 27000 obowiązujące w Polsce

Wyślij link znajomemu

W erze cyfryzacji normy ISO/IEC 27000 są fundamentem zarządzania bezpieczeństwem informacji w organizacjach. W Polsce seria tych standardów bezpieczeństwa informacji wspiera firmy, administrację publiczną i organizacje non-profit w ochronie danych i zgodności z prawem, takim jak RODO. Artykuł szczegółowo omawia normy ISO/IEC 27000, ich strukturę, zastosowanie i korzyści płynące z wdrożenia systemu zarządzania bezpieczeństwem informacji.

Czym są normy ISO/IEC 27000?

Normy ISO/IEC 27000, stworzone przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC), dotyczą systemów zarządzania bezpieczeństwem informacji (SZBI). Ich celem jest zapewnienie bezpieczeństwa informacji w organizacji poprzez wdrożenie zabezpieczeń systemów informacji, zarządzanie ryzykiem związanym z cyberzagrożeniami oraz spełnianie wymagań normy ISO, takich jak ochrona danych osobowych.

Historia norm ISO/IEC 27000

Seria norm ISO/IEC 27000 wywodzi się z brytyjskiego standardu BS 7799, który w 2000 roku przekształcono w ISO/IEC 17799, a następnie w ISO/IEC 27002 w 2007 roku. Kluczowa norma ISO/IEC 27001, wprowadzona w 2005 roku, określa wymagania normy ISO dla SZBI i umożliwia certyfikację systemów zarządzania. W Polsce normy rodziny ISO/IEC 27000 stosuje się od 2007 roku, a najnowsza wersja normy, PN-EN ISO/IEC 27001:2023-08, obowiązuje od sierpnia 2023 roku.

Podmioty Kluczowe normy ISO/IEC 27000 w Polsce

Normy serii ISO/IEC 27000 obejmują ponad 40 standardów, z których wiele wspiera organizację bezpieczeństwa informacji w Polsce. Poniżej przedstawiono najważniejsze normy ISO, ich zastosowanie i status.

ISO/IEC 27000: Wprowadzenie i słownictwo

Cel normy: ISO/IEC 27000 definiuje terminy i dostarcza przegląd norm rodziny ISO, stanowiąc podstawę dla standardów bezpieczeństwa informacji.
Status w Polsce: Obowiązuje PN-EN ISO/IEC 27000:2017-06, stosowana w organizacjach każdej wielkości.
Zastosowanie: Ułatwia wdrożenie normy ISO, standaryzując pojęcia dla bezpieczeństwa iso, szczególnie dla ISO/IEC 27001.

ISO/IEC 27001: Wymagania dla SZBI

Cel normy: ISO/IEC 27001 określa wymagania dla systemów zarządzania bezpieczeństwem informacji, w tym 114 zabezpieczeń w Załączniku A, takich jak techniki bezpieczeństwa, kontrola dostępu i reagowanie na incydenty.
Status w Polsce: PN-EN ISO/IEC 27001:2023-08 to najnowsza wersja normy ISO. Okres przejściowy dla PN-EN ISO/IEC 27001:2017-06 trwa do 31 października 2025 roku.
Zastosowanie: Certyfikacja systemów zarządzania zgodna z ISO/IEC 27001 jest popularna w sektorach IT, finansowym i publicznym, zapewniając bezpieczeństwo systemu informacyjnego i budując zaufanie klientów.

ISO/IEC 27002: Wytyczne dla zabezpieczeń

Cel normy: ISO/IEC 27002 oferuje wytyczne dotyczące wdrażania zabezpieczeń systemów informacji z ISO/IEC 27001, szczegółowo opisując 114 mechanizmów kontrolnych.
Status w Polsce: Obowiązuje PN-EN ISO/IEC 27002:2017-06, zaktualizowana w 2022 roku zgodnie z ISO/IEC 27002:2022.
Zastosowanie: Norma bezpieczeństwa ISO/IEC 27002 wspiera wdrożenie zarządzania bezpieczeństwem w firmach technologicznych i administracji.

ISO/IEC 27003: Wdrożenie SZBI

Cel normy: ISO/IEC 27003 dostarcza wytycznych dotyczących wdrażania systemów zarządzania bezpieczeństwem informacji.

Status w Polsce: PN-EN ISO/IEC 27003:2017-06 wspiera organizacje w planowaniu SZBI.

Zastosowanie: Ułatwia wdrożenie normy ISO w firmach rozpoczynających proces.

ISO/IEC 27004: Monitorowanie i pomiary

Cel normy: ISO/IEC 27004 określa mierniki do oceny efektywności SZBI, wspierając kontrole bezpieczeństwa informacji.
Status w Polsce: PN-EN ISO/IEC 27004:2017-06 jest stosowana w audytach.
Zastosowanie: Pomaga w doskonaleniu bezpieczeństwa informacji poprzez systematyczne monitorowanie.

ISO/IEC 27005: Zarządzanie ryzykiem

Cel normy: ISO/IEC 27005 dostarcza wytycznych dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji, wspierając audyt systemu zarządzania.
Status w Polsce: Stosowana jest PN-ISO/IEC 27005:2014-01, oparta na ISO/IEC 27005:2011, z aktualizacją z 2018 roku.
Zastosowanie: Kluczowa dla banków i instytucji rządowych, wspiera zarządzanie informacjami i zgodność z ISO/IEC 27001.

ISO/IEC 27006: Wymagania dla jednostek certyfikujących

Cel normy: ISO/IEC 27006 określa wymagania dla jednostek przeprowadzających audyt systemu zarządzania i certyfikację SZBI.
Status w Polsce: PN-EN ISO/IEC 27006:2016-02 jest stosowana przez akredytowane jednostki, takie jak ISOQAR.
Zastosowanie: Zapewnia standardy dla certyfikacji systemów zarządzania zgodnych z ISO/IEC 27001.

ISO/IEC 27007 i ISO/IEC TR 27008: Audyty i przeglądy

Cel normy: ISO/IEC 27007 dostarcza wytycznych do audytu SZBI, a ISO/IEC TR 27008 wspiera przeglądy techniczne zabezpieczeń informacji.
Status w Polsce: Obie normy są stosowane w zaawansowanych audytach bezpieczeństwa iso.
Zastosowanie: Wspierają organizację standardów bezpieczeństwa w firmach o wysokich wymaganiach.

ISO/IEC 27010: Zarządzanie bezpieczeństwem w komunikacji

Cel normy: ISO/IEC 27010 oferuje wytyczne dla bezpieczeństwa informacji w organizacjach międzysektorowych.
Status w Polsce: Stosowana w sektorach wymagających wymiany danych, np. telekomunikacji.
Zastosowanie: Uzupełnia normy ISO w zakresie bezpiecznego przetwarzania informacji.

ISO/IEC 27011, 27013, 27014, 27015: Specjalistyczne wytyczne

  • ISO/IEC 27011: Wytyczne dla telekomunikacji.
  • ISO/IEC 27013: Integracja ISO/IEC 27001 z ISO/IEC 20000-1.
  • ISO/IEC 27014: Zarządzanie bezpieczeństwem informacji.
  • ISO/IEC 27015: Bezpieczeństwo w sektorze finansowym.

Zastosowanie: Normy te wspierają specyficzne potrzeby sektorowe, np. finanse czy IT.

ISO/IEC 27000

Bezpłatna konsultacja – wypełnij formularz

ISO/IEC 27017 i ISO/IEC 27018: Chmura obliczeniowa

Cel normy: ISO/IEC 27017 i 27018 koncentrują się na bezpieczeństwie przetwarzanych danych w chmurze i ochronie danych osobowych.
Status w Polsce: Stosowane w sektorze IT i usług chmurowych.
Zastosowanie: Wspierają przetwarzanie danych osobowych zgodnie z RODO.

ISO/IEC TR 27016 i ISO/IEC TR 27019

  • ISO/IEC TR 27016: Analiza ekonomiczna bezpieczeństwa informacji.
  • ISO/IEC TR 27019: Bezpieczeństwo w sektorze energetycznym.

Zastosowanie: Uzupełniają normy ISO w niszowych obszarach.

ISO/IEC 27701: Zarządzanie prywatnością

Cel normy: ISO/IEC 27701 rozszerza ISO/IEC 27001 o wytyczne dotyczące zarządzania prywatnością, koncentrując się na ochronie danych osobowych i zgodności z regulacjami, takimi jak RODO.
Status w Polsce: PN-EN ISO/IEC 27701:2020-02 jest szeroko stosowana w organizacjach przetwarzających dane osobowe, takich jak firmy e-commerce, sektor medyczny czy administracja publiczna.
Zastosowanie: Norma wspiera organizacje w zapewnieniu bezpieczeństwa przetwarzanych danych, oferując ramy dla systemów zarządzania prywatnością. Jest szczególnie ceniona za umożliwienie integracji z SZBI, co ułatwia wdrażanie spójnych procesów ochrony danych i zwiększa zaufanie klientów.

ISO 27799: Bezpieczeństwo w ochronie zdrowia

Cel normy: ISO 27799 dostarcza wytycznych dla bezpieczeństwa informacji w sektorze medycznym.
Status w Polsce: Stosowana w szpitalach i placówkach medycznych.
Zastosowanie: Wspiera ochronę danych osobowych w ochronie zdrowia.

Wdrożenie norm ISO/IEC 27000 w Polsce

Wdrożenie systemu zarządzania informacjami opiera się na modelu PDCA (Planuj-Wykonuj-Sprawdzaj-Działaj).

Planowanie

  • Polityka SZBI: Definiowanie celów dla systemu bezpieczeństwa.
  • Analiza ryzyk: Ocena zagrożeń zgodnie z ISO/IEC 27005.
  • Zabezpieczenia: Wybór kontroli bezpieczeństwa informacji z ISO/IEC 27001.

Wdrażanie

  • Procedury: Implementacja wytycznych dotyczących zarządzania z ISO/IEC 27002.
  • Szkolenia: Edukacja personelu w zakresie technologii informacyjnej i bezpieczeństwa.

Sprawdzanie

  • Audyty: Wewnętrzne przeglądy zgodności z normami serii ISO.
  • Monitorowanie: Ocena SZBI za pomocą ISO/IEC 27004.

Działanie

  • Korekty: Ulepszenia po audytach.
  • Doskonalenie: Ciągłe dostosowywanie do nowych zagrożeń.

Certyfikacja ISO/IEC 27001

Certyfikacja systemów zarządzania w Polsce jest przeprowadzana przez jednostki takie jak ISOQAR czy BSI. Proces obejmuje audyt wstępny, audyt zgodności i audyty nadzoru, z certyfikatem ważnym przez 3 lata.

Korzyści z wdrożenia norm ISO/IEC 27000

  • Wdrożenie normy ISO/IEC 27000 zapewnia organizacjom w Polsce wiele korzyści.
  • Zapewnienie bezpieczeństwa
  • Normy ISO/IEC 27001 i 27002 minimalizują ryzyko cyberataków i wycieków danych, wzmacniając systemy zarządzania informacjami.
  • Zgodność z prawem
  • Normy wspierają zgodność z RODO, Ustawą o ochronie danych osobowych (Dz.U. 2019 poz. 1781) oraz Rozporządzeniem o Krajowych Ramach Interoperacyjności (Dz.U. 2024 poz. 632).
  • Budowanie zaufania
  • Certyfikat ISO/IEC 27001 potwierdza zaangażowanie w organizację bezpieczeństwa informacji, zwiększając wiarygodność.
  • Redukcja kosztów
  • Efektywne zarządzanie ryzykiem związanym z bezpieczeństwem zmniejsza koszty incydentów, takich jak kary RODO.

Wyzwania wdrożenia norm ISO/IEC 27000

  • Koszty: Szkolenia i audyty wymagają inwestycji.
  • Zaangażowanie: Sukces zależy od wsparcia zarządu.
  • Złożoność: Wdrożenie systemu zarządzania wymaga wiedzy.
  • Utrzymanie: System bezpieczeństwa wymaga ciągłych aktualizacji.

Podsumowanie

Normy ISO/IEC 27000, w tym ISO/IEC 27001, 27002, 27005 i 27006, są podstawą bezpieczeństwa informacji w organizacji w Polsce. Wdrożenie normy ISO zapewnia ochronę danych, zgodność z prawem i przewagę rynkową. Normy wspierają także unijne regulacje, takie jak NIS2 (od października 2024 roku), która nakłada wymagania na sektory kluczowe, oraz DORA (od stycznia 2025 roku), regulująca odporność operacyjną w finansach, szczególnie w zarządzaniu ryzykiem ICT.

Wiesław Krawczyński