GoldenLine
Zaloguj się
Marta Kocik

Marta Kocik

Temat: ISO 27001

Witam, jestem studentką Politechniki Poznańskiej. Chciałabym państwa prosić o pomoc w interpretacji normy ISO 27001.
Jakie są plusy z jej wdrożenia?jakie minusy? jakie bariery napotykamy podczas ich wdrażania i inne osobiste spostrzeżenia.
Z góry dziękuję za odpowiedzi i Pozdrawiam
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: ISO 27001

Zapraszam na PRIV lub proszę tutaj zadać bardziej konkretne pytania bo norma jest dosyć obszerna.
Link do wypowiedziLink

konto usunięte

Temat: ISO 27001

W praktyce Audytora IT wygląda to tak:

Samodzielnie wykonywałem audyty wewnętrzne w BIK w obszarach ICT i bezpieczeństwa informacji za zgodności z wymaganiami wewnętrznymi i zewnętrznymi z zakresu:

- zarządzania uprawnieniami i dostępami do systemów informatycznych,
- procesu prowadzenia projektów,
- procesu obsługi zgłoszeń użytkowników systemów informatycznych,
- procesu wyłaniania dostawców produktów i usług.

Złożyłem pisemne raporty na Zarząd zawierające: obserwacje, ocenę ryzyk i rekomendacje poaudytowe.

Jako audytor podczas badania i oceny bezpieczeństwa informacji systemów informatycznych BIK, identyfikował je w technologiach Microsoft, MS CERT, Oracle, IBM MQ WepSphere oraz ALTAR.

Przegląd został przeprowadzony w oparciu o model wzorcowy przedstawiony, w takich normach jak:
- PN ISO/IEC 27001:2013 - Zarządzanie Bezpieczeństwem Informacji
- COBIT (Control Objectives for Information and related Technology) – opracowany przez ISACA
- ITIIL v.3 (Information Technology Infrastructure Library) - kodeks postępowania dla IT
- Rekomendacje D KNF - dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.

W razie pytań zapraszam do kontaktu.
Link do wypowiedziLink

konto usunięte

Temat: ISO 27001

W razie pytań związane z PN ISO/IEC 27001:2013 zapraszam do kontaktu na priv. Ten post został edytowany przez Autora dnia 21.05.15 o godzinie 01:45
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ISO 27001

Marta K.:
Witam, jestem studentką Politechniki Poznańskiej. Chciałabym państwa prosić o pomoc w interpretacji normy ISO 27001.
Jakie są plusy z jej wdrożenia?jakie minusy? jakie bariery napotykamy podczas ich wdrażania i inne osobiste spostrzeżenia.
Z góry dziękuję za odpowiedzi i Pozdrawiam

Mam propozycję. Proszę nie traktować normy, jako zestawu identycznych wymagań dla wszystkich. Norma jest elastyczna, ale niestety tego typu podejście powoduje, że już na początku studiowania czy interpretacji pojawią się problemy.

Innymi słowy - inaczej będzie stosowana w przypadku firm tworzących oprogramowanie, inaczej w przypadku banków, inaczej w przypadku firm produkcyjnych. Po prostu ze specyfiki tych organizacji w zupełnie innych miejscach pojawią się ryzyka będące w górnych rejestrach w rankingu ryzyka, a więc ciężar całego systemu będzie inaczej rozłożony.
Link do wypowiedziLink
Marta Kocik

Marta Kocik

Temat: ISO 27001

a czy pracodawca zawsze informuje o poufności danych nowych pracowników?i czy są przeprowadzane jakieś szkolenia z tego zakresu?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: ISO 27001

Na logikę biorąc - jeżeli pracodawcy zależy na zapewnieniu poufności, to raczej powinien szkolić pracowników i to przed dopuszczeniem ich do poufnych danych... :)

Natomiast z punktu widzenia ISO 27001 - w punkcie 7.1 normy nazwanym "Uświadamianie" jest wskazany wymóg, że osoby pracujące pod nadzorem organizacji powinny być świadome:
- polityki bezpieczeństwa informacji,
- ich wkładu w SZBI,
- konsekwencji niezgodności.
(cytat niedosłowny, ale oddający najważniejszy sens)

Oprócz powyższego, w załączniku A zawierającym tzw. zabezpieczenie jest wymienione m.in zabezpieczenie
A7.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji.

Szczegóły, jak realizacja tych zapisów wygląda zależy już od danej organizacji,
ale raczej trudno sobie wyobrazić, żeby w firmach gdzie jest ISO 27001 nie było szkoleń, które m.in dotyczą zagadnienia poufności.
Link do wypowiedziLink
Jurek Ogorek

Jurek Ogorek sprzątacz, N.A.S.A

Temat: ISO 27001

Chciałbym się dowiedzieć jakie mogą być konsekwencje nieprzestrzegania normy. Chodzi głównie o punkt 7.1 normy, jak wygląda sytuacja w przypadku nieprzeprowadzenia szkolenia dla nowych pracowników i jak pracownicy mają zareagować. Czy powinni sami zainteresować się normą czy raczej pracodawca powinien zadbać o to aby przeszkolić pracowników?
W ostateczności czy są nakładane jakieś kary na pracodawcę/pracownika za brak znajomości normy pomimo deklaracji jej wprowadzenia.
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: ISO 27001

Nie ma sensu wprowadzanie normy, zakładając, że nie będzie przestrzegana. Jeśli Regulamin pracy uwzględnia normę, to brak dostosowania się do niej samej można traktować jako niewypełnianie obowiązków pracowniczych.

Konsekwencje wyciąga pracodawca, nikt inny. Jednak tak jak zauważono już w dyskusji, norma jest bardzo elastyczna, wszystko zależy od specyfiki i dokumentacji.

Z doświadczenia, zawsze znajdzie się jakiś dowód na wypełnienie punktu 7.1 :)
Link do wypowiedziLink
Jarosław Coch

Jarosław Coch Automation Tester,
Samsung Electronics
Polska Sp. z o.o.

Temat: ISO 27001

Planuj - ustanowienie SZBI - ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
Wykonuj - wdrożenie i eksploatacja SZBI - wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
Sprawdzaj - monitorowanie i przegląd SZBI - pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
Działaj - utrzymanie i doskonalenie SZBI - podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Wdrożenie ISO 27001




Wyślij zaproszenie do
Anuluj