Coraz większego znaczenia nabiera kwestia bezpieczeństwa informacji. Efektem tego zjawiska jest poszukiwanie przez przedsiębiorstwa metod zabezpieczania danych. Informatyczne i techniczne sposoby są niewystarczające w obliczu tendencji do nielegalnego zdobywania informacji poprzez istniejące luki organizacyjne. Potrzeba stworzenia standardów systemowych doprowadziła do powstania, na podstawie wcześniejszych doświadczeń związanych ze stosowaniem zabezpieczeń, normy ISO 27001:2005.
Po ośmiu latach funkcjonowania standardu poddano go ocenie i wprowadzono obowiązująca od 2013 roku nowelizację. Niżej przedstawiamy najważniejsze zmiany, jakie znalazły się w wersji ISO 27001:2013 .
Zmiany wpływające na funkcjonowanie systemu
Wprowadzenie pojęcia kontekstu organizacji
ISO 27001:2005 – organizacja była zobowiązana do określenia zakresu systemu jedynie opierając się na specyfice działalności, lokalizacji, posiadanych aktywach i technologiach, czyli tylko na czynnikach zewnętrznych.
ISO 27001:2013 – wprowadzenie wymogu oceny zarówno wewnętrznych, jak i zewnętrznych czynników. Wewnętrznymi czynnikami (wg. ISO 31000) są:
- zarządzanie, struktura organizacyjna, role, odpowiedzialność,
- polityka, cele, strategie organizacji,
- potencjał posiadanych zasobów i wiedzy,
- kultura organizacyjna,
- system i przepływ informacji, procesy decyzyjne,
- relacje, postrzeganie wartości wewnętrznych interesariuszy,
- standardy, wytyczne i modele już wdrożone,
- forma i zakres umów.
Wprowadzenie „zainteresowanych stron” w miejsce interesariuszy
Potrzeby zainteresowanych stron i ich oczekiwania powinny być rozpoznane i zrozumiane w ramach definiowania kontekstu organizacji. Dopiero wtedy jest możliwe ustalenie zakresu systemu zarządzania bezpieczeństwem informacji.
Doprecyzowanie wymagań dla kierownictwa firmy
ISO 27001:2005 – wykazanie zaangażowania najwyższego kierownictwa przez ustanowienie polityki, celów, określenie ról, itp.
ISO 27001:2013 – podkreślenie roli przywództwa, którego miarą mają być wyniki osiągane przez organizację w zakresie realizacji polityki i osiągania celów. Jest to wskazówka dla audytorów firm certyfikujących, by położyć większy nacisk na uzyskiwane efekty podczas rozmów z zarządami organizacji.
Rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji
ISO 27001:2005 – wymóg dokumentowania istnienia systemu bezpieczeństwa.
ISO 27001:2013 – zwiększenie nacisku na realne funkcjonowanie systemu. Jednym ze środków jest wymóg opracowania celów bezpieczeństwa informacji i planowanie ich osiągania. Wypływa z tego wniosek, że organizacje muszą planować i wdrażać zmiany w systemie, a cele nie mogą mieć charakteru statycznego.
Położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka i wprowadzenie szans
ISO 27001:2005 – obszar ten był opisany jedynie w kontekście identyfikacji czynników ryzyka i zagwarantowania ciągłości działania.
ISO 27001:2013 – uwzględnia się zarówno czynniki ryzyka, jak i szanse. Na organizacji ciąży obowiązek wdrożenia procesu postępowania z czynnikami ryzyka i szansami, które będą integralnym elementem SZBI. Analizując funkcjonowanie systemu, należy także oceniać skuteczność rozpoznawania i eliminowania czynników ryzyka oraz możliwość wykorzystywania szans.
Wprowadzenie wymagań dotyczących komunikacji
Organizacja powinna opracować plan komunikacji, który będzie uwzględniał rodzaje przekazywanych informacji, częstotliwość, adresatów, procesy oraz osoby odpowiedzialne.
Zmiany metod stosowanych w standardzie
Rezygnacja z działań zapobiegawczych
Działania zapobiegawcze, ze względu na nieokreślone źródło informacji o potencjalnych niezgodnościach, powodowały problemy w praktycznym zastosowaniu. Metodologia zarządzania ryzykiem jest znacznie bardziej rozbudowana w zakresie identyfikacji czynników ryzyka, ich szacowania, a także podejmowania działań. Podobne zmiany wprowadzane są w pozostałych normach systemów zarządzania. Uelastycznienie podejścia do dokumentacji:
ISO 27001:2005 – obowiązywało pojęcie dokumentów i zapisów.
ISO 27001:2013 – pojawił się wymóg dokumentowania informacji, co jest bardziej elastycznym podejściem i pozwala szerzej wykorzystać systemy informatyczne, które w wielu firmach są źródłem większości zapisów w systemie zarządzania bezpieczeństwem informacji. Jednocześnie obowiązek oceny i sposobu dokumentowania został przerzucony na kierownictwo przedsiębiorstw. To zarządy będą musiały wykazać, że przyjęte metody dokumentowania są właściwe, odpowiednie dla firmy, a także z punktu widzenia zainteresowanych stron, stanowią uproszczenie podejścia do szacowania ryzyka.
Wprowadzenie pojęcia właściciela czynnika ryzyka zastępującego właściciela aktywów
Jest to krok w kierunku pełniejszego zastosowania podejścia systemowego i może zachęcić do reorganizacji i optymalizacji struktury organizacyjnej. Brak obowiązku identyfikowania zasobów, zagrożeń i podatności sprawia, że pojęcie właściciela aktywów nie ma zastosowania.
Wprowadzone zmiany są ukierunkowane na aktywne podejście do kształtowania systemu i znacząco podnoszą wymagania wobec przedsiębiorców (możliwość rozliczania zarządów z jakości funkcjonowania systemu, wymóg jego aktywnego rozwoju). W celu przygotowanie jednostki organizacyjnej do wdrożenia systemu zarządzania bezpieczeństwem, wskazany jest udział audytora wewnętrznego w szkoleniu dotyczącym wdrożenia nowelizacji w przedsiębiorstwie.
