Download
1 / 93
940 likes | 1.27k Views
ISO 27001:2007 - WYMAGANIA. PROWADZĄCY. Andrzej Łęszczak Konsultant systemów zarządzania. ISO 27001:2007 - WYMAGANIA. TEMAT SZKOLENIA. 27001:2007 – przedstawienie i interpretacja wymagań systemu zarządzania bezpieczeństwem informacji. ISO 27001:2007 - WYMAGANIA. PROGRAM SZKOLENIA.
E N D
ISO 27001:2007 - WYMAGANIA PROWADZĄCY Andrzej Łęszczak Konsultant systemów zarządzania
ISO 27001:2007 - WYMAGANIA TEMAT SZKOLENIA 27001:2007 – przedstawienie i interpretacja wymagań systemu zarządzania bezpieczeństwem informacji
ISO 27001:2007 - WYMAGANIA PROGRAM SZKOLENIA Powitanie i wstęp Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji Podstawowe terminy związane z informacją i bezpieczeństwem Zarys struktury i wymagania normy ISO 27001:2007 Cele i zabezpieczenia zastosowane w ISO 27001:2007 i ISO 17799:2005 Dokumentacja wymagana przez ISO 27001:2007 Przewidywany czas: ok. 3 godz.
SYSTEM ZARZADZANIA BEZPIECZEŃSTWEM INFORMACJI ISO 27001:2007 (poprzednio: BS 7799-2:2002) „Information technology – Security techniques – Information security management systems – Requirements.” „Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji – Wymagania.” Polskie wydanie: PN – ISO/IEC 27001:2007
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA ISO 27001:2007 Zawiera specyfikacje (do normy ogólnej) wymagań odnoszących się do ustanawiania, wdrażania i dokumentowania systemów zarządzania bezpieczeństwem informacji SZBI Zawiera specyfikacje wymagań odnoszących się do zabezpieczeń, wprowadzanych zależnie od potrzeb indywidualnych organizacji Stanowi podstawę referencyjną certyfikacji
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA ISO 17799:2005 „Information technology – Security techniques – Code of practice for information security management.” „Technika informatyczna – Techniki bezpieczeństwa - Praktyczne zasady zarządzania bezpieczeństwem informacji.” Polskie wydanie: PN-ISO/IEC 17799:2007 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji.”
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA ISO 17799:2005 Norma ogólna – omawia podejście, zasady i praktyki Norma stanowi dokument referencyjny (model) Wskazuje na najbardziej wrażliwe zagrożenia, obszary Omawia najlepsze ze stosowanych praktyk zapewnienia bezpieczeństwa Zawiera 11 zestawów zabezpieczeń Nie może być wykorzystywana do oceny i certyfikacji
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA RÓŻNICE ISO 27001:2005 – charakter normatywny ...organizacja „powinna” = „musi” („shall”) ISO 17799:2005 – charakter referencyjny „...zaleca się” żeby organizacja („should”)
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA WYMAGANIA PRAWNE Ustawa o ochronie danych osobowych(tekst jedn. Dz. U. z 2002 r, Nr 101 poz. 926 i Dz. U. Nr 153 poz. 1271 ze zmianami) Ustawa o ochronie osób i mienia(Dz. U. z 1997 r. Nr 114 poz. 740 ze zmianami) Ustawa o ochronie informacji niejawnych(Dz. U. z 1999 r. Nr 11 poz. 95 ze zmianami) Zasady organizowania, klasyfikowania (tajemnica państwowa, służbowa – ściśle tajne, tajne, poufne, zastrzeżone), udostępniania informacji niejawnych; postępowanie sprawdzające. Ustawa o ochronie konkurencji i konsumentów(Dz. U. z 2000 r. Nr 122 poz. 1319 ze zmianami) Kodeks Spółek Handlowych(Dz. U. z 2000 r. Nr. 94 poz. 1037 ze zmianami) Rachunkowość, przepisy giełdowe i inne
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA • Źródła wymagań bezpieczeństwa • (ISO 17799:2005) • Wyniki szacowania ryzyka • Wymagania prawne, statutowe, regulacyjne i kontraktowe w stosunku do organizacji, kontrahentów, dostawców • Opracowany przez organizację, w celu wspomagania swojej działalności, zbiór zasad, celów i wymagań dotyczących przetwarzania informacji
ISO 27001:2005 - WYMAGANIA PROGRAM SZKOLENIA Powitanie i wstęp Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji Podstawowe terminy związane z informacją i bezpieczeństwem Zarys struktury i wymagania normy ISO 27001:2005 Cele i zabezpieczenia zastosowane w ISO 27001:2005 i ISO 17799:2005 Dokumentacja wymagana przez ISO 27001:2005
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Definicja informacji • (ISO 17799:2005) • „INFORMACJA to aktyw, który, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartośći dlatego należy go odpowiednio chronić.”
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Definicja informacji • (BIZNESOWA) • INFORMACJA to dane przetworzone (poukładane, przefiltrowane, pogrupowane itd.) w taki sposób, że na ich podstawie można wyciągać wnioski, podejmować decyzje biznesowe.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ O informacji (ISO 17799:2005) „Informacja może przybierać różne formy. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmu lub wypowiadana w rozmowie. Niezależnie od tego, jaką formę informacja przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona”
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Rodzaje informacji objęte SZBI • Wewnętrzne – informacje, które nie powinny dotrzeć do konkurencji, ponieważ my tego nie chcemy. • Dotyczące konsumentów/klientów – informacje, które nie powinny być ujawnione, ponieważ oni tego nie chcą. • Informacje, które muszą być przekazywane innym partnerom handlowym.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ System informacyjny ≠ system informatyczny System zarządzania bezpieczeństwem informacji ≠zarządzanie bezpieczeństwem systemów informatycznych
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI(SZBI)INFORMATION SECURITY MANAGEMENT SYSTEM(ISMS) To część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji System zarządzania obejmuje strukturę organizacyjną, polityki, działania związane z planowaniem, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Informacje można: • Tworzyć • Przechowywać • Zniszczyć • Przetwarzać • Przekazywać • Wykorzystać • Utracić • Uszkodzić
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Ochrona informacji jest ważna dla naszego codziennego życia: • Banki • Towarzystwa ubezpieczeniowe • Operatorzy telefoniczni • Tajemnica przemysłowa • Obronność kraju • Kartoteki policyjne • itp
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Dlaczego organizacje wdrażają system zarządzania bezpieczeństwem informacji (SZBI): • Lepsze postrzeganie na rynku • Wymagania przetargowe • Zwiększone zaufanie klientów • Ochrona danych osobowych, innych powierzonych przez klienta, własnego know-how itd.. • Zapobieganie stratom związanym z utratą informacji • Zapewnienie ciągłości działania (plany awaryjne, disaster recovery) • Kierownictwo może „spać spokojnie” • Świadome, oparte na faktach podejmowanie decyzji co do zarządzania aktywami i związanymi z nimi ryzykami • Większa świadomość personelu • Uwzględnienie informacji w zarządzaniu procesami biznesowymi • Lepszy wynik finansowy
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ • Trudności we wdrożeniu SZBI: • Trudności w interpretacji wymagań normy • Trudno stworzyć dobry model szacowania ryzyka (prosty, a jednocześnie mający odniesienie do biznesu i naprawdę zapewniający bezpieczeństwo) • Duża ilość procedur i polityk • Konieczność uświadamiania i szkolenia pracowników • Dużo formalnych wymagań systemu (dużo zapisów) • Trzeba często szacować ryzyko • Potrzebne nakłady na zabezpieczenia • Potrzebna wiedza specjalistyczna (zwłaszcza IT) • Potrzeba zaangażowania całego personelu • Niebezpieczeństwo odejścia od rzeczywistości biznesowej (organizacje są „ślepe” na prawdziwe zagrożenia, zbyt bardzo polegają na systemie)
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ DOSTĘPNOŚĆ (availability) Zapewnienie upoważnionym użytkownikom dostępu do informacji i związanych z nimi zasobów, zgodnie z potrzebami INTEGRALNOŚĆ(integrity) Zagwarantowanie dokładności i kompletności informacji oraz metod ich przetwarzania POUFNOŚĆ(confidentiality) Zapewnienie, że informacje są dostępne tylko dla osób uprawnionych • Bezpieczeństwo informacji • „Bezpieczeństwo informacji oznacza, że informacje są chronione przed szerokim zakresem zagrożeń w celu zapewnienia ciągłości działalności, ograniczenia strat i maksymalizacji zwrotu z inwestycji oraz działań biznesowych (rozwoju firmy)” • Bezpieczeństwo informacji oznacza zachowanie:
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ AKTYWA, ZASOBY(assets) To wszystko co ma wartość dla organizacji
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ ZAGROŻENIE(threat) Potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji. PODATNOŚĆ(vulnerability) • Słabość aktywa lub grupy aktywów, która może być wykorzystana przez co najmniej jedno zagrożenie.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ SKUTEK(impact) Rezultat niepożądanego incydentu. PRAWDOPODOBIEŃSTWO(probability) • Stopień pewności, że incydent się zdarzy.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ ZDARZENIE BEZPIECZEŃSTWA INFORMACJI (information security event) Zidentyfikowane wystąpienie stanu w systemie, usłudze lub sieci, który wskazuje na możliwość naruszenia polityki bezpieczeństwa informacji lub nie zadziałanie zabezpieczeń, lub wcześniej nieznana sytuacja która może mieć znaczenie dla bezpieczeństwa informacji.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ INCYDENT BEZPIECZEŃSTWA INFORMACJI (information security incident) Pojedyncze zdarzenie lub seria niepożądanych lub nieoczekiwanych zdarzeń związanych z bezpieczeństwem informacji, które ze znaczącym prawdopodobieństwem mogą powodować zagrożenie dla działalności biznesowej i bezpieczeństwa informacji.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ RYZYKO(risk) Prawdopodobieństwo, że określone zagrożenie wykorzysta podatnośćaktywa lub grupy aktywów, aby spowodować straty lub zniszczenie aktywów. (PN-I-13335-1) Kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji. (ISO Guide 73:2002)
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ RYZYKOSZCZĄTKOWE(residual risk) Ryzyko, które pozostaje po wprowadzeniu zabezpieczeń.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ SZACOWANIE RYZYKA(risk assessment) • Całościowy proces analizy ryzyka i oceny ryzyka ANALIZA RYZYKA(risk analysis) Systematyczne korzystanie z informacji w celu zidentyfikowania źródeł i oceny ryzyka OCENA RYZYKA(risk evaluation) • Proces porównywania estymowanego ryzyka z założonymi kryteriami ryzyka w celu wyznaczenia wagi ryzyka
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ POSTĘPOWANIE Z RYZYKIEM(risk treatment) • Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko ZARZĄDZANIE RYZYKIEM(risk management) Skoordynowane działania w celu kierowania i kontroli organizacji z uwzględnieniem ryzyka
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ REDUKOWANIE RYZYKA(risk reduction) • Działania podjęte, aby zmniejszyć prawdopodobieństwo i/lub negatywne konsekwencje związane z ryzykiem. AKCEPTACJA RYZYKA(risk acceptance) Decyzja, aby zaakceptować ryzyko. KRYTERIA RYZYKA(risk criteria) • Punkty odniesienia według których szacuje się ważność (wagę) ryzyka. UWAGA: Kryteria ryzyka mogą zawierać powiązane koszty i korzyści, wymagania prawne i regulacyjne, socjo-ekonomiczne i środowiskowe aspekty, interesy akcjonariuszy, priorytety i inne dane wejściowe do szacowania.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ UNIKANIE RYZYKA(risk avoidance) • Decyzja, aby nie pozostawać w sytuacji ryzyka, albo działanie w celu wycofania się z takiej sytuacji. TRANSFER RYZYKA(risk transfer) • Podzielenie się z trzecią stroną ciężarem lub korzyścią z ryzyka. UWAGA: Transfer ryzyka może tworzyć nowe ryzyka lub modyfikować już istniejące.
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ ZABEZPIECZENIE(safeguard, control) Praktyka, procedura lub mechanizm redukujący ryzyko
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ DEKLARACJA STOSOWANIA(statement of applicability) Udokumentowana deklaracja opisująca cele zabezpieczeń i zabezpieczenia, które odnoszą się i mają zastosowanie w systemie zarządzania bezpieczeństwem informacji organizacji
ISO 27001:2007 - WYMAGANIA PROGRAM SZKOLENIA Powitanie i wstęp Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji Podstawowe terminy związane z informacją i bezpieczeństwem Zarys struktury i wymagania normy ISO 27001:2005 Cele i zabezpieczenia zastosowane w ISO 27001:2005 i ISO 17799:2005 Dokumentacja wymagana przez ISO 27001:2005
4. WYMAGANIA ISO 27001:2007 SPIS TREŚCI 0.Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 1. Zakres normy 1.1 Postanowienia ogólne 1.2 Zastosowanie 2. Powołania normatywne 3. Terminy i definicje 4. System zarządzania bezpieczeństwem informacji SZBI 4.1 Wymagania ogólne 4.2 Ustanowienie i zarządzanie SZBI 4.2.1 Ustanowienie SZBI 4.2.2 Wdrożenie i funkcjonowanie SZBI 4.2.3 Monitorowanie i przegląd SZBI 4.2.4 Utrzymanie i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji 4.3.1 Postanowienia ogólne 4.3.2 Nadzór nad dokumentami 4.3.3 Nadzór nad zapisami
4. WYMAGANIA ISO 27001:2007 SPIS TREŚCI – c.d. Odpowiedzialność kierownictwa 5.1. Zaangażowanie kierownictwa 5.2 Zarządzanie zasobami 5.2.1 Zapewnienie zasobów 5.2.2 Szkolenie, świadomość i kompetencje Audity wewnętrzne SZBI Przegląd SZBI przez kierownictwo 7.1. Postanowienia ogólne 7.2. Dane wejściowe do przeglądu 7.3. Dane wyjściowe z przeglądu
4. WYMAGANIA ISO 27001:2007 SPIS TREŚCI – c.d. Doskonalenie SZBI 8.1. Ciągłe doskonalenie 8.2. Działania korygujące 8.3. Działania zapobiegawcze Aneks A (normatywny) Cele stosowania zabezpieczeń oraz zabezpieczenia Aneks B (informacyjny) Wytyczne OECD do stosowania niniejszej Normy Międzynarodowej Aneks C (informacyjny) Powiązania między ISO 9001:2008, ISO 14001:2004 niniejszą Normą Międzynarodową”
4. WYMAGANIA ISO 27001:2007 0.2 PODEJŚCIE PROCESOWE „Niniejszy standard przyjmuje podejście procesowe do ustanowienia, wdrożenia, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia udokumentowanego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).”
4. WYMAGANIA ISO 27001:2007 1.1 WYMAGANIA OGÓLNE Standard dotyczy wszelkiego rodzaju organizacji „Celem SZBI jest zapewnienie wyboru adekwatnych i proporcjonalnych zabezpieczeń w celu ochrony aktywów informacyjnych oraz zapewnienie zaufania do organizacji stron zainteresowanych.”
4. WYMAGANIA ISO 27001:2007 1.2 ZASTOSOWANIE „Wyłączenie jakichkolwiek wymagań zawartych w klauzulach 4, 5, 6, 7 i 8 nie jest możliwe, jeżeli organizacja deklaruje zgodność z niniejszym międzynarodowym standardem. Jakiekolwiek wyłączenie zabezpieczeń uważanych za konieczne, aby spełnić kryteria akceptacji ryzyka powinno być uzasadnione i powinien być dostarczony dowód, że powiązane ryzyka zostały zaakceptowane przez upoważnione osoby. Jeżeli dokonano wyłączenia zabezpieczeń, to nie można deklarować zgodności z niniejszym międzynarodowym standardem, chyba że takie wyłączenia nie wpływają na zdolność i odpowiedzialność organizacji, do zapewnienia bezpieczeństwa informacji, które spełnia wymagania bezpieczeństwa wynikające z szacowania ryzyka i mających zastosowanie wymagań prawa i innych regulacji.”
4. WYMAGANIA ISO 27001:2007 4. SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI 4.1 WYMAGANIA OGÓLNE „Organizacja powinna ustanowić, wdrożyć, stosować, monitorować, przeglądać, utrzymywać i doskonalić udokumentowany SZBI w kontekście ogólnej działalności biznesowej organizacji i ryzyk które napotyka. Dla celów niniejszego standardu międzynarodowego zastosowano proces oparty na modelu PDCA pokazanym na rysunku 1” Patrz także „0.2 Podejście procesowe”
4. WYMAGANIA ISO 27001:2007 Zainteresowane strony Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Zarządzanie bezpieczeństwem informacji Model PDCA stosowany w procesach SZBI Planuj Ustanowienie SZBI Wykonuj Cykl opracowywania, utrzymywania i doskonalenia Wdrożenie i eksploatacja SZBI Utrzymanie i doskonalenie SZBI Działaj Monitorowanie i przegląd SZBI Sprawdzaj
4. WYMAGANIA ISO 27001:2007 Model PDCA stosowany w procesach SZBI Ustanowienie polityk bezpieczeństwa, zadań, celów, procesów i procedur odpowiednich dla zarządzania ryzykiem i doskonalenia bezpieczeństwa informacji w celu spełnienia postanowień polityki i celów organizacji. Wdrożenie i zastosowanie polityk bezpieczeństwa zabezpieczeń, procesów, procedur. Ocena i gdzie to możliwe pomiar wykonania procesów w odniesieniu do polityk bezpieczeństwa, celów i praktycznych doświadczeń oraz przekazywanie kierownictwu wyników do przeglądu. Podejmowanie działań korygujących i zapobiegawczych na podstawie wyników przeglądu realizowanego przez kierownictwo tak, aby osiągnąć ciągłe doskonalenie SZBI. Planuj (ustanowienie SZBI) Wykonuj (wdrożenie i eksploatacja SZBI Sprawdzaj (monitorowanie i przegląd SZBI) Działaj (utrzymanie i doskonalenie SZBI)
4. WYMAGANIA ISO 27001:2007 4.2 USTANOWNIE I ZARZĄDZANE SZBI 4.2.1 a USTANÓW SZBI „Organizacja powinna określić zakres i granice SZBI z uwzględnieniem rodzaju działalności biznesowej, organizacji, jej lokalizacji, aktywów i technologii, zawierając również szczegóły i uzasadnienie dla jakichkolwiek wyłączeńz zakresu (patrz 1.2).”
4. WYMAGANIA ISO 27001:2007 Zakres SZBI Ustanowienie struktury zarządzania Etap 1 Określenie zakresu SZBI Dokument polityki Etap 2 Określenie polityki • Stworzyć systematyczne podejście do szacowania ryzyka: • wybrać metodę szacowania • określić bezpieczeństwo informacji, wymagania prawne i nadzoru • ustanowić politykę i cele • wyznaczyć kryteria akceptowania ryzyka i określić akceptowalne jego poziomy Etap 3 Arkusz szacowania ryzyka, polityki • Określić ryzyka: • określić aktywa i ich właścicieli • - określić skutki zagrożeń • określić zagrożenia • określić podatności Etap 4 Arkusz szacowania ryzyka
4. WYMAGANIA ISO 27001:2007 • Oszacować ryzyka: • oszacować szkody i straty biznesowe • oszacować prawdopodobieństwo • wyznaczyć poziomy ryzyk • stwierdzić czy ryzyko jest akceptowalne czy też wymaga działania Etap 5 Ustanowienie struktury zarządzania – c.d Arkusz szacowania ryzykaRaport z oceny ryzyka • Zidentyfikować i ocenić warianty postępowania z ryzykiem: • zastosowanie zabezpieczeń • akceptacja ryzyka • unikanie ryzyka • przeniesienie ryzyka Etap 6 Raport z oceny ryzyka Wybrane cele i zabezpieczenia Wybór celów i zabezpieczeń, które zostaną wdrożone Etap 7 Deklaracja stosowania Sporządzenie deklaracji stosowania Etap 8 Etap 9 • Sporządzenie planu postępowania z ryzykiem: • odpowiedzialności • priorytety Plan postępowania z ryzykiem
4. WYMAGANIA ISO 27001:2007 Ustanowienie struktury zarządzania – c.d Księga SZBI Polityki, procedury Wdrożenie wybranych zabezpieczeń Etap 10 Księga SZBI Ustalenie sposobu pomiaru skuteczności i doskonalenie zastosowanych zabezpieczeń Etap 11 Raport z oceny ryzyka Ponowne szacowanie ryzyka Etap 12
4. WYMAGANIA ISO 27001:2007 4.2.1. b OKREŚL POLITYKĘ SZBI „Organizacja powinna: ...ustanowić politykę SZBI uwzględniającą charakter prowadzonej działalności biznesowej, organizację, jej lokalizację, aktywa i technologię, która: 1) stanowi podstawę dla wyznaczania celów i wytycza zasadniczy kierunek i zasady działania w związku z bezpieczeństwem informacji; 2) bierze pod uwagę wymagania biznesowe, prawne i regulacyjne oraz obowiązki w zakresie bezpieczeństwa wynikające z umów; 3) jest zgodna z kontekstem zarządzania przez organizację ryzykiem strategicznym, w którym zostanie ustanowiony i utrzymywany SZBI; 4) ustanawia kryteria w oparciu o które ryzyko będzie oceniane (patrz 4.2.1 c); i 5) została zaakceptowana przez kierownictwo. UWAGA: Dla potrzeb niniejszego międzynarodowego standardu polityka SZBI jest traktowana jako dokument nadrzędny („nadzbiór”) w stosunku do polityki bezpieczeństwa informacji. Polityki te mogą być opisane w jednym dokumencie”
