ISO 27003 – im dalej w las tym więcej drzew?
W poprzednim artykule opisaliśmy jak ISO 27001 określa wymagania dotyczące planowania SZBI – Systemu Zarządzania Bezpieczenstwem Informacji. 27001 obejmuje również wskazówki wdrożeniowe jak i dotyczące utrzymania i poprawy jakości systemu. Z kolei ISO 27002 to standard, który dokumentuje wytyczne i zasady dotyczące inicjowania, wdrażania, utrzymywania i doskonalenia mechanizmów bezpieczeństwa technologii informatycznych. Po co więc jeszcze ISO27003?
ISO 27003:2017 daje wytyczne do wdrożenia systemu zarządzania bezpieczeństwem informacji – stanowi “pomost” pomiędzy 27001 i 27002. Opisany w poprzednim artykule standard 27002 zawieraszczegółowe wskazówki dotyczące opracowywania technik zarządzania bezpieczeństwem. Standard 27002 robi to, określając ponad sto potencjalnych kontroli i mechanizmów kontrolnych. Można rzec, że bez odpowiednich narzędzi organizacyjnych ISO 27002 jest odosobnionym odniesieniem ISO z najlepszymi wskazówkami dotyczącymi wdrożenia mechanizmów bezpieczeństwa – co czyni go przydatnym zbiorem dobrych praktyk. ISO 27001 pozwala zyskać perpspektywę na to, które praktyki i ISO 27002 zastosować, poprzez umiejętne zarządzanie ryzykiem. Związek między ISO 27003 i ISO 27002 polega na tym, że wszelkie kontrole wdrożone od 27002 muszą być powiązane z wymaganiami ISO 27001. W tym celu pomocne będą wskazówki zawarte w 27003.
Dla wygody ‘27003 ma praktycznie taką samą strukturę jak ‘27001, rozszerzając klauzulę po klauzuli na ‘27001, stąd główne sekcje to:
- Kontekst organizacji
- Przywództwo
- Planowanie
- Wsparcie
- Operacje
- Ocena wydajności
- Możliwości poprawy
To wsparcie dla wdrożenia normy 27001 można przedstawić następująco – standard 27003 wyjaśnia implikacje; oraz pferuje praktyczne wskazówki i informacje pomocnicze, w tym przykłady, aby pomóc realizatorom we wdrażaniu. Na przykład..
to, co 27001 opisuje w sekcji 4.1, „Zrozumienie organizacji i jej kontekstu”:„Organizacja powinna określić kwestie zewnętrzne i wewnętrzne, które są istotne dla jej celu i które wpływają na jej zdolność do osiągnięcia zamierzonego(ych) wyniku(ów) swojego systemu zarządzania bezpieczeństwem informacji.”
Sekcja 4.1 dokumentu 27003 najpierw określa „wymagane działanie” :„Organizacja określa kwestie zewnętrzne i wewnętrzne istotne dla jej celu i wpływające na jej zdolność do osiągnięcia zamierzonego(ych) wyniku(ów) systemu zarządzania bezpieczeństwem informacji (ISMS).”
Powyższy przykład obrazuje w jaki sposób ISO 27003 przekłada postanowienia 27001 na działania – natomiast 27002 daje konkretne techniczne środki. Korzystając z tych trzech standardów możemy z suckesem określić plan i wdrożyć system zarządzania bezpieczenstwem informacji. Warto również dodać, że ISO27003 jest uzupełnieniem dwóch kolejnych norm wytycznych ISO. ISO/IEC 27004 obejmuje monitorowanie, pomiary, analizę i ocenę bezpieczeństwa technologii informatycznych. ISO/IEC 27005 zawiera wskazówki dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji.