Norma ISO/IEC 27001:2007

Zarządzanie Jakością
Teoria
i praktyka
ochrony
informacji
Dr Mariusz Maciejczak
Informacja
• „Informacja jest czynnikiem, który zwiększa naszą
wiedzę o otaczającej nas rzeczywistości”
W. Flakiewicz
• „Bez materii nie ma nic, bez energii wszystko jest
nieruchome, bez informacji jest chaos”
E. Niedzielska
• „Informacja to taki rodzaj zasobów, który pozwala
na zwiększenie naszej wiedzy o nas i otaczającym
nas świecie”
J. Kisielnicki i H. Sroka
Piramida Mądrości
Przetworzone dane podstawą
podejmowania decyzji
Informacja a wiedza
Człowiek od zarania dziejów wykorzystywał
wiedzę dla siebie, ukrywał przed innymi i
manipulował nią dla własnych (osobistych,
plemiennych czy też narodowych) celów.
To właśnie konieczność dzielenia się fragmentaryczną
wiedzą z innymi w grupie, niezbędna dla osiągnięcia
założonych (ukrytych przed innymi członkami populacji)
celów, wywołała potrzebę ochrony informacji,
stworzyła formy i metody niezbędne do jej realizacji.
Ochrona informacji
Rozwijała się różnymi drogami (od szyfru
Cezara po steganografię), ale zawsze chodziło
przede wszystkim o ogólnie rozumianą ochronę
istotnych wartości dotyczących ludzi
(pieniądza – Fenicjanie, tajemnic wiary –
templariusze, tajemnic grupy – loże masońskie
itd.) na poziomie maksymalnego, możliwego do
osiągnięcia bezpieczeństwa.
Czy pojedynczy człowiek, sam z siebie, jest w stanie na tyle
opanować swoje świadome i nieświadome (mowa ciała) reakcje,
aby nie poddać się bezpośredniej ocenie i odczytowi własnych
emocji (kod werbalny, werbalne zachowania maskujące – wokalne i
wizualne sygnały stanu) w odniesieniu do chronionych przezeń
informacji?
Ochrona informacji jako dziedzina nauki
– SECURITOLOGIA
Pierwsze publikacje podejmujące próbę wyodrębnienia
nauki o zarządzaniu bezpieczeństwem życia człowieka –
securitologii jako dyscypliny naukowej pochodzą z lat 90.
ubiegłego wieku.
Samego określenia securitologia (Секюритология ) z
propozycją jego definicji użył w 1989 roku w Rosji W.I.
Jaroczkin, który w sposób nowatorski wskazał na
wyodrębniającą się wśród innych dyscyplin naukowych
nową naukę o bezpieczeństwie życia człowieka.
Szerzej informują o samym problemie i sposobach jego
badania, liczne prace polskich naukowców z tej dziedziny:
Janusza Świniarskiego, Stanisława Piochy, Leszka
Korzeniowskiego, Jana Maciejewskiego i innych.
Tekst jawny
IP
L0
R0
f
K1
L1  R 0
R1  L 0  f ( R 0 , K 1 )
f
K2
L 2  R1
R 2  L1  f ( R1 , K 2 )
L15  R14
R15  L14  f ( R14 , K15 )
K16
R15  L14  f ( R14 , K15 )
IP
Szyfrogram
NP.
Schemat
szyfrowania
algorytmem DES
Społeczeństwo informacyjne
a bezpieczeństwo informacji
W bezpiecznym społeczeństwie informacyjnym
(„trzeciej fali” wg A. H. Tofflerów*) wszelkie działania
muszą i powinny opierać się na świadomym
kontrolowaniu bezpieczeństwa ogólnego przez
nadzorowanie bezpieczeństwa informacji – tej, którą
gromadzimy, wykorzystujemy i udostępniamy
otoczeniu.
Inżynieria bezpieczeństwa informacji to przede
wszystkim umiejętność analizowania otoczenia pod
względem zbierania i wykorzystywania każdej z wielu
dostępnych danych i jego analizy na potrzeby
bieżące bezpieczeństwa instytucji/organizacji/grupy
społecznej.
* Alvin i Heidi Toffler: Trzecia fala (1980, wyd. polskie: 1989).
Bezpieczeństwo informacji
obrona informacyjna, która polega na
uniemożliwieniu i utrudnieniu zdobywania
danych o fizycznej naturze aktualnego i
planowanego stanu rzeczy i zjawisk we
własnej przestrzeni funkcjonowania oraz
utrudnianiu wnoszenia entropii
informacyjnej do komunikatów i destrukcji
fizycznej do nośników danych
Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo
informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003.
Poczucie bezpieczeństwa
•
•
•
•
W odniesieniu do postrzegania i poszukiwania poczucia
bezpieczeństwa warto wziąć pod uwagę model
zaprezentowany przez D. Frei’a, który uwzględnia cztery
elementy:
stan braku bezpieczeństwa – w którym występuje
rzeczywiste i istotne zagrożenie zewnętrzne, którego
postrzeganie jest adekwatne,
stan obsesji – w którym niewielkie zagrożenie
postrzega się jako duże,
stan fałszywego bezpieczeństwa – w którym
istotne zagrożenie postrzegane jest jako niewielkie,
stan bezpieczeństwa – w którym zagrożenie
zewnętrzne jest niewielkie, a jego postrzeganie
prawidłowe.
Podział zagrożeń informacyjnych
Składowe bezpieczeństwa informacji
Trzeba pamiętać, że przyczyną kryzysu
jest zawsze najsłabiej chroniony element
10
9
8
6
7
1
5
2
3
4
Analiza
funkcjonalna
w kontekście
metod
biometrycznych
Podejście praktyczne do SZBI
Istotnym, żeby nie powiedzieć głównym, elementem
budowania warunków bezpieczeństwa i
przeciwstawiania się zagrożeniom jest wiedza
menedżera o charakterze samych zagrożeń oraz jego
sposób komunikowania się z personelem
zarządczym średniego szczebla i pracownikami –
otwarty, bezpośredni (o ile to możliwe), na poziomie ich
percepcji, co w dobie rozwoju współczesnych środków
przekazu zapewnia nieosiągalną w innym układzie
pełnię porozumienia (werbalny i niewerbalny kontakt
osobisty).
Uzupełnieniem jest wnikliwa strategiczna analiza
systemowa wdrożonej polityki bezpieczeństwa,
znajomość jej zasad i umiejętność skutecznego
odwołania się do jej ustaleń na każdym (polityki
cząstkowe/procedury) poziomie działania
Sposoby budowy wysokiego poziomu
systemu bezpieczeństwa informacji
Polityka
Standardy
DLACZEGO
CO
JAK
Procedury
Wytyczne i Plany
Współzależności biznesu i systemu IT
Bezpieczeństwo informacji to nie
tylko bezpieczeństwo IT
System kontroli bezpieczeństwa informatycznego dużej firmy w USA
Klasyfikacja stopnia poufności danych
Informacja
publiczna
Informacja do
Własność
Informacja
Informacja
Tajemnica
użytku
zastrzeżona
prywatna
poufna firmy Przedsiębiorstwa
wewnętrznego
firmy
Tajemnica
Państwowa
Ta sama osoba może mieć wtedy dostęp do jednych zasobów i
brak dostępu do innych zasobów
Program
Sterujący
Dostęp
Udzielony
Brak
Dostępu
Komputer PC
Drzwi 1
ol i vet t i
Drzwi 2
ol iv ett i
Sposób automatycznej analizy odcisku
palca
Identyfikacja typu „coś co masz”
tokeny
Sprawdzanie kart
magnetycznych lub chipowych
Bezpieczeństwo systemu
komputerowego
stan systemu komputerowego, w którym
ryzyko urzeczywistnienia się zagrożeń
związanych z jego funkcjonowaniem jest
ograniczone do akceptowalnego poziomu.
Słabe punkty sieci komputerowych
Klasyfikacja zagrożeń 1:
ze względu na charakter przyczyny:
świadoma i celowa działalność człowieka chęć rewanżu, szpiegostwo, wandalizm,
terroryzm, chęć zaspokojenia własnych ambicji
wydarzenie losowe - błędy i zaniedbania
ludzkie, awarie sprzętu i oprogramowania,
temperatura, wilgotność, zanieczyszczenie
powietrza, zakłócenia w zasilaniu, klęski
żywiołowe, wyładowania atmosferyczne,
katastrofy
Klasyfikacja zagrożeń 2:
ze względu na umiejscowienie źródła
zagrożenia:
wewnętrzne - mające swoje źródło wewnątrz
organizacji użytkującej system informacyjny
zewnętrzne - mające swoje źródło na zewnątrz
organizacji (poprzez sieć komputerową, za
pośrednictwem wirusów komputerowych)
Typy najczęściej spotykanych zagrożeń
w sieci komputerowej
fałszerstwo komputerowe,
włamanie do systemu, czyli tzw. hacking,
oszustwo, a w szczególności manipulacja danymi,
manipulacja programami,
oszustwa, jakim są manipulacje wynikami,
sabotaż komputerowy,
piractwo,
podsłuch,
niszczenie danych oraz programów komputerowych
Najwygodniejsze dla konstruktorów
systemów informatycznych są metody oparte
na hasłach lub PIN
Wadą jest ryzyko, że użytkownik
zapomni hasło lub że intruz wejdzie
nielegalnie w posiadanie hasła
Opracowano z wykorzystaniem artykułów:
• Blim M.: 2007. Teoria ochrony informacji. Cz. 1, 2, 3. Magazyn
Zabezpieczenia.
• Blim M.: 2009. Normalizacja w zarządzaniu bezpieczeństwem - nowe
spojrzenie. Magazyn Zabezpieczenia.
• Jabłoński M., Mielus M.: 2009: Zagrożenia bezpieczeństwa informacji w
przedsiębiorstwie. Magazyn Zabezpieczenia
Zarządzanie Jakością
System
Zarządzania
Bezpieczeństwem
Informacji
-
NORMALIZACJA
Dr Mariusz Maciejczak
Bezpieczeństwo Informacji
Norma PN-ISO/IEC 27001:2007
Systemy zarządzania bezpieczeństwem
informacji - Wymagania.
Historia normy
Norma PN-ISO/IEC 27001: 2007
• Jest tłumaczeniem (bez zmian) angielskiej
wersji normy międzynarodowej ISO/IEC
27001
• Zastępuje normę PN-I-07799-2:2005
• Obejmuje:
 Technika informatyczna
 Techniki bezpieczeństwa
 Systemy zarządzania bezpieczeństwem
informacji
Norma PN-ISO/IEC 27001: 2007
Norma ISO/IEC 27001:2007
Międzynarodowa norma ISO 27001 określa
wymagania związane z:
– ustanowieniem,
– wdrożeniem,
– eksploatacją,
– monitorowaniem,
– przeglądem,
– Utrzymaniem,
– doskonaleniem
Systemu Zarządzania Bezpieczeństwem
Informacji.
Norma PN-ISO/IEC 27001: 2007
Norma ISO 27001 oparta jest na podejściu
procesowym i wykorzystuje model Planuj
– Wykonuj – Sprawdzaj – Działaj (PDCA
tj. Plan – Do – Check - Act ), który jest
stosowany dla całej struktury procesów
SZBI.
Zgodność z innymi systemami
NORMY ZWIĄZANE:
• BS 7799-2:2002 – standard brytyjski na podstawie którego
opracowana została norma ISO/IEC 27001:2005
• PN-ISO/IEC 27001:2007 – polskie tłumaczenie normy ISO/IEC
27001:2005
• ISO/IEC 17799:2005 – norma zawierająca wytyczne, określające w
jaki sposób spełnić poszczególne wymagania normy ISO/IEC
27001:2005
NORMY SPÓJNE:
• Wspieranie spójnego wdrażania z innymi normami dotyczącymi
zarządzania, np. dostosowana do ISO 9001:2000 i ISO 14001:2004
• Norma 27001 została tak zaprojektowana, aby umożliwić organizacji
dopasowanie lub zintegrowanie swojego SZBI z innymi systemami
ISO 27001 a ISO 1779
Zawartość normy
Norma składa się z części podstawowej oraz
załączników.
Część podstawowa normy definiuje wymagania
związane z ustanowieniem i zarządzaniem SZBI,
wymaganą dokumentacją, odpowiedzialnością
kierownictwa, wewnętrznymi audytami SZBI,
przeglądami SZBI oraz ciągłym doskonaleniem
SZBI. Wszystkie wymagania zdefiniowane w
części podstawowej powinny być spełnione.
Podstawą ustanowienia oraz utrzymania
SZBI jest określenie metody oraz
przeprowadzenie analizy ryzyka.
Analiza ryzyka
•
•
•
•
•
•
•
•
•
•
Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité
de l'Information Francis.
CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie
opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana.
W chwili obecnej jest własnością Insight Consulting, będącego częścią światowej grupy
Siemens.
OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia
analizy ryzyka, będąca własnością CERT i przez nią utrzymywana.
CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z
najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information
Security Forum.
ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako
wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą
opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem.
AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany
wspólnie z Australia Standards oraz New Zealand Standards.
HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360.
NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez
NIST.
Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze
bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI.
ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w
zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest
opracowywany z myślą o IT czy bezpieczeństwie informacji.
Część podstawowa
• 39 obszarów wymagających kontroli
• 133 punkty kontrolne bezwzględnie
wymagane przez normę
Zawartość normy
0. wprowadzenie
1. Zakres normy
2. Powołania
3. Terminologia i definicje
4. System zarządzania bezpieczeństwem informacji
5. Odpowiedzialność kierownictwa
6. Wewnętrzne audity SZBI
7. Przegląd dokonywany przez kierownictwo
8. Doskonalenie ISMS
Zał. A. Cele sterowania i sterowanie (controls)
Zał. B. Przewodnik do stosowania normy
Zał. C. Korespondencja z ISO 9001 i ISO 14001
Zał. D. Różnice w numeracji
System Zarządzania Bezpieczeństwem
Informacji
4.1. Wymagania podstawowe
4.2. Tworzenie i zarządzanie SZBI
4.2.1. Tworzenie SZBI
4.2.2. Wdrożenie i funkcjonowanie SZBI
4.2.3. Monitorowanie i przeglądy SZBI
4.2.4. Obsługa i doskonalenie SZBI
4.3 Wymagania dotyczące dokumentacji
4.3.1 Założenia
4.3.2. Nadzór nad dokumentami
4.3.3. Nadzór nad zapisami
Odpowiedzialność kierownictwa
•
•
•
•
5.1. Zaangażowanie kierownictwa
5.2. Zarządzanie zasobami
5.2.1 Dostępność zasobów
5.2.2. Szkolenie, uświadomienie i
kompetencje
Przeglądy dokonywane przez
kierownictwo
•
•
•
•
6.1. Założenia
6.2. Dane wejściowe
6.3. Dane wyjściowe
6.4. Audyty wewnętrzne
Doskonalenie
• 7.1. Ciągłe doskonalenie
• 7.2. Działania korygujące
• 7.3. Działania zapobiegawcze
Ciągłe doskonalenie
Ciągłe doskonalenie
Planuj (ustanowienie ISMS) Opracuj politykę bezpieczeństwa, zadania,
cele, procesy i procedury odpowiednie do określonego ryzyka i
rosnącego bezpieczeństwa aby otrzymać wyniki zgodne zadaniami i
polityką organizacji.
Wykonaj (wdrożenie i stosowanie ISMS) Zastosuj i spowoduj
rozpoczęcie funkcjonowania polityki bezpieczeństwa informacji,
procesów i sterowania ISMS)
Sprawdź (monitorowanie i przegląd ISMS) Sprawdzaj a gdzie to
możliwe mierz wydajność procesów w stosunku do polityki
bezpieczeństwa, zadań i doświadczeń praktycznych oraz raportuj
wyniki zarządowi w celu dokonywania przeglądu
Popraw (utrzymanie i doskonalenie ISMS) Wprowadzaj działania
korygujące i zapobiegawcze w oparciu o wyniki przeglądów
kierownictwa aby ciągle doskonalić ISMS.
Załącznik A
• Załącznik A - normatywny;
• Cele stosowania zabezpieczeń i
zabezpieczenia
Lista celów i zabezpieczeń podana w tym
załączniku nie wyczerpuje wszystkich
możliwości i organizacja może/powinna
rozważyć zastosowanie innych
Załącznik A zawiera wymagane zabezpieczenia
podzielone na 11 obszarów:
1. A.5 Polityka bezpieczeństwa
2. A.6 Organizacja bezpieczeństwa informacji
3. A.7 Zarządzanie aktywami
4. A.8 Bezpieczeństwo zasobów ludzkich
5. A.9 Bezpieczeństwo fizyczne i środowiskowe
6. A.10 Zarządzanie systemami i sieciami
7. A.11 Kontrola dostępu
8. A.12 Pozyskiwanie, rozwój i utrzymanie systemów
informatycznych
9. A.13 Zarządzanie incydentami związanymi z
bezpieczeństwem informacji
10.A.14 Zarządzanie ciągłością działania
11.A.15 Zgodność
Załączniki B i C
• Załącznik B - informacyjny
• Zasady OECD i Norma Międzynarodowa
Wytyczne OECD dotyczące bezpieczeństwa
systemów informacyjnych i sieci
• Załącznik C - informacyjny
 Opisuje powiązania z normami
ISO 9001:2000
ISO 14001:2004
Zalety normy PN-ISO/IEC 27001: 2007
Dużą zaletą normy jest kompleksowe podejście do
bezpieczeństwa informacji. Norma porusza obszary
bezpieczeństwa fizycznego, osobowego,
teleinformatycznego oraz prawnego.
Jednocześnie norma nie określa szczegółowych
technicznych wymagań, lecz wskazuje na obszary, które
należy uregulować. Sposób zabezpieczenia tych
obszarów zależy od nas samych i powinien być oparty
na przeprowadzonej analizie ryzyka.
Ze względu na kompleksowe podejście do tematu
bezpieczeństwa informacji oraz ogólny charakter
wymagań, norma może być podstawą budowy SZBI w
organizacjach małych jak i wielkich koncernach oraz
może dotyczyć różnych sektorów branżowych.
Zalety normy PN-ISO/IEC 27001: 2007
Zasady
kodeksowe
normy ISO
17799
Przyszłość czy już konieczność dzisiaj?
• ISO/IEC 20000
Systemu zarządzania usługami
informatycznymi
• BS 25999
Wytyczne do zarządzania ciągłością
działania
ISO/IEC 20000
Fundamentem standardu jest pojęcie
usługi informatycznej, z której korzysta
organizacja a której dostarczeniem
zajmuje się dział informatyki.
Dostarczanie usług podlega zarządzaniu
poprzez wymienione w normie procesy.
ISO/IEC 20000
Część pierwsza- określa wymagania
zarządzania usługami IT i jest skierowana do
osób odpowiedzialnych za zainicjowanie,
wdrożenie i utrzymanie zarządzania usługami IT
w organizacji.
Część druga - najlepsze praktyki, prezentuje
wytyczne dla audytorów oraz dostawców usług,
którzy planują doskonalenie usług lub
przeprowadzenie audytów.
ISO/IEC 20000
Wyróżniono 5 obszarów i 13 procesów:
Procesy dostarczania usług
1.
•
•
•
•
•
•
2.
Zarządzanie poziomem usług
Raportowanie poziomu usług
Zarządzanie pojemnością
Zarządzanie dostępnością i ciągłością działania
Budżetowanie i rozliczanie usług
Zarządzanie bezpieczeństwem informacji
Procesy relacji
•
•
3.
Zarządzanie relacjami z biznesem
Zarządzanie relacjami z dostawcą
Procesy kontroli
•
•
4.
Zarządzanie konfiguracją
Zarządzanie zmianą
Procesy naprawy
•
•
5.
Zarządzanie incydentem
Zarządzanie problemem
Proces wersji
•
Zarządzanie wersją
BS 25999
Seria BS 25999 dotyczy obszaru zarządzania
ciągłością działania.
BS 25999 został opracowany przez specjalistów pracujących w
organizacjach z różnych krajów w oparciu o doświadczenie
akademickie, techniczne i praktyczne w zarządzaniu ciągłością
działania.
Standard wprowadza systemowe podejście do zarządzania
ciągłością działania w oparciu o dobre praktyki. Celem tego
standardu jest zbudowanie pojedynczego źródła informacji
pozwalającego zidentyfikować środki kontroli, które zgodnie z
praktyką są niezbędne do zarządzania ciągłością działania.
Standard może być wykorzystywany przez organizacje każdej
wielkości w sektorach przemysłowym, handlowym, publicznym i
non-profit.
Seria BS 25999 składa się z dwóch
standardów
• Pierwszy – BS 25999-1:2006 jest zbiorem
wytycznych, które wprowadzają procesy,
zasady i terminologię.
• Drugi– BS 25999-2 jest standardem, w
oparciu o który może być przyznany
certyfikat zgodności. Określa on wymagania
do wdrożenia środków kontroli ciągłości
działania.
BS 25999-2
Jest to brytyjski standard opracowany przez BSI i
opublikowany 20 listopada 2007 roku.
Definiuje on wymagania związane z funkcjonowaniem
systemu zarządzania ciągłością działania w organizacji.
Wymagania zostały określone w stosunku do
ustanowienia, wdrożenia, eksploatacji, przeglądu,
testowania, utrzymania i doskonalenia systemu
zarządzania ciągłością działania (Business Continuity
Management System - BCMS).
Standard pozwala utworzyć system zarządzania
ciągłością działania, który może funkcjonować w ramach
kompleksowego zarządzania ryzykiem działalności.
Inne standardy
• ISO/PAS 22399:2007, Societal security – Guidelines for
incident preparedness and operational continuity management
(including the „best of five” documents),
• TR 19:2005: Technical reference for business continuity
management (Singapore),
• CSA Z1600 Standard on emergency management and continuity
programs (draft standard from Canadian Standards Association,)
• All Hazards Risk Management Systems Best
Practices Standard: Requirements with Guidance for Use: A
practical management systems approach to security, preparedness,
response, business/operational continuity and recovery for
disruptive incidents resulting in an emergency, crisis, or disaster
(draft standard from ASIS International).
• inne
Certyfikat ISO/IEC 27001:2007
Certyfikat ISO/IEC 27001 w Polsce
na tle innych krajów w 2006r.
Certyfikat ISO/IEC 27001 w Polsce
w 2009r.
ok. 100 certyfikatów
Pełna lista podmiotów na stronie
http://www.iso27000.pl/index.php?page=rejestr&page_num=all
Certyfikat ISO/IEC 27001 w Polsce w 2009r.
– podział wg. jednostek certyfikacyjnych
http://www.iso27000.pl/index.php?page=statystyki&stat=3
Rejestr certyfikatów BS 7799-2 oraz
ISO/IEC 27001 przyznanych organizacjom
w Polsce w 2009r.
Data
cert.
Organizacja
Jednost
ka
home.pl sp.j.
BSI
2009-09-14
CWW sp. k.
TUV
Nord
2009-07-20
PKP Cargo S.A.
ZSJZ
2009-06-16
Polskie Górnictwo Naftowe i
Gazownictwo SA
TUV
Nord
2009-04-10
Elektrotim S.A.
ZSJZ
2009-09-15
Źródło: http://www.iso27000.pl/index.php?page=najnowsze, 04.12.2009r.
Przykład: Bank Zachodni WBK S.A.
Bank Zachodni WBK S.A.
Branża:
Usługi
Wielkość organizacji:
1000-5000 pracowników
Data przyznania
certyfikatu:
2009-02-18
Numer certyfikatu:
HU09/3782
Akredytacja:
Tak
Jednostka certyfikująca:
SGS Group
Standard:
ISO/IEC 27001:2005
Zakres systemu:
Certyfikowany System Zarządzania Bezpieczeństwem Informacji obejmuje:
- zarządzanie bezpieczeństwem informacji w banku, - obsługę systemów
internetowej bankowości elektronicznej BZWBK24, - obsługę autoryzacji i
rozliczeń kart kredytowych, - personalizację kart płatniczych.
Sposoby budowy wysokiego poziomu
systemu bezpieczeństwa informacji
Polityka
Standardy
DLACZEGO
CO
JAK
Procedury
Wytyczne i Plany