Transfer - Prokrastynacja czy priorytetyzacja
Dzisiaj trochę inaczej o prokrastynacji, bo pod kątem transferu systemu zarządzania. Najprościej mówiąc, prokrastynacja to czynność polegająca na opóźnianiu lub odkładaniu zadań na ostatnią chwilę, lub wykonywaniu ich na ostatnią chwilę. Przez psychologów uznawana jest ona za zaburzenie psychiczne, z racji powtarzalnego cyklu działań i efektów, które utrudniają życie. Ale w biznesie można ją także wiązać z priorytetyzacją i tak chcielibyśmy przyjmować uzasadnienie przy transferze SZBI, do zgodności z nową normą.
Od maja bieżącego roku nowe certyfikacje systemu zarządzania bezpieczeństwem informacji prowadzone są już tylko zgodnie z nową edycji normy ISO/IEC 27001:2022. Mimo, że obowiązuje okres przejściowy – dualizm standardów (ISO/IEC 27001:2013 oraz ISO/IEC 27001:2022), czyli ich ważność w tym okresie. System zarządzania bezpieczeństwem jest nakładką na procesy biznesowe, mającą za zadanie ochronę aktywów informacyjnych, które są w naszej dyspozycji przy realizacji procesów. Zgodność systemu z normą odniesienia jest obecnie dość często kryterium klienta w projektach, czy też przy nawiązaniu współpracy. Stanowi dowód naszej odpowiedzialności i profesjonalizmu, a dla klienta formą gwarancji poufności i jej zabezpieczenia. Dlatego z odpowiednim wyprzedzeniem potrzebne jest dokonanie przejścia / transferu na nową normę, bo zakres zmian między tymi dwoma edycjami może być czasochłonny i kosztowny w zależności od dojrzałości systemu. Niestety często widać, że priorytetyzacja zadań w tym zakresie bardziej przypomina prokrastynację. Wytłumaczeniem jest perspektywa czasu jaka pozostała, a nie analiza pod kątem ustanowienia projektu wewnętrznego. I tego najbardziej szkoda, bo potem przyjęte rozwiązania są niedopracowane, po prosu zabraknie czasu na wdrożenie – zwłaszcza gdy dotyczy to rozwiązań IT.
Dobre praktyki
W sieci dostępne są różne opracowania pod tym kątem. Nawet na Liniedin’ie dostepnych jest wiele propozycji różnego rodzaju dokumentów w postaci checklisty przy wykonywaniu analizy luk, czy też gotowości do transferu systemu, ale nie ma aż tak dużo publikacji szerszych, książkowych, które ten temat podnoszą. Dlatego postanowiliśmy podpowiedzieć wszystkim w potrzebie dwie książki, które w szerszy sposób omawiają zmiany w nowej edycji normy.
- IT Governance – An international guide to data security and ISO 27001/ISO 27002, 8 edycja,
Jest to zalecany podręcznik dla podyplomowego kursu bezpieczeństwa informacji Open University i zalecany tekst dla wszystkich kursów IBITGQ ISO 27001. W tym zaktualizowanym wydaniu uznani eksperci ISO 27001/27002 Alan Calder i Steve Watkins omawiają aktualizację ISO 27001/27002:2022; Dostarczenie wskazówek, jak ustanowić silny system zarządzania IT i ISMS (system zarządzania bezpieczeństwem informacji) zgodny z ISO 27001 i ISO 27002. Podkreślenie, dlaczego ochrona danych i bezpieczeństwo informacji są niezbędne w naszych stale zmieniających się środowiskach internetowych i fizycznych. Rozważenie zmian w przepisach międzynarodowych, np.RODO (ogólne rozporządzenie o ochronie danych) oraz przegląd kluczowych tematów, takich jak ocena ryzyka, zarządzanie zasobami, zabezpieczenia, bezpieczeństwo, relacje z dostawcami i zgodność. Ponieważ cyberzagrożenia stają się coraz bardziej powszechne i gwałtowne, ważniejsze niż kiedykolwiek jest wdrożenie bezpiecznego SZBI w celu ochrony organizacji. Certyfikacja SZBI na zgodność z normami ISO 27001 i ISO 27002 pokazuje klientom i interesariuszom, że organizacja bezpiecznie obchodzi się z danymi, jak napisano w opisie ksiązki.
- ISO 27001 Controls – A guide to implementing and auditing, 2 edycja
Wytyczne dotyczące wdrażania – co należy wziąć pod uwagę, aby spełnić wymagania dotyczące zabezpieczeń z ISO/IEC 27001:2022, załącznik A. Wytyczne te są dostosowane do normy ISO/IEC 27002:2022, która zawiera porady dotyczące wdrażania zabezpieczeń (kontrolek). Wskazówki dotyczące audytu – co należy sprawdzić i w jaki sposób podczas badania kontroli ISO/IEC 27001:2022, aby upewnić się, że wdrożenie obejmuje wszystkie wymagania dotyczące kontrolek SZBI.
Książka jest Idealna dla menedżerów bezpieczeństwa informacji, audytorów, konsultantów i organizacji przygotowujących się do certyfikacji ISO 27001:2022, ale pomoże także czytelnikom zrozumieć wymagania ISMS (systemu zarządzania bezpieczeństwem informacji) opartego na ISO 27001:2022. Podobnie, dla każdego zaangażowanego w audyty wewnętrzne lub zewnętrzne, książka zawiera ostateczne wymagania, które audytorzy muszą uwzględnić podczas certyfikacji organizacji na zgodność z ISO 27001:2022.
Wytyczne dotyczące audytu obejmują dowody, których audytor powinien szukać, aby upewnić się, że wymóg został spełniony. Wytyczne te są przydatne dla audytorów wewnętrznych i konsultantów, a także kierowników ds. bezpieczeństwa informacji i głównych wdrożeniowców jako sposób na potwierdzenie, że ich wdrożenie i dowody na jego poparcie będą wystarczające do przejścia audytu.
Zapraszamy do współpracy
Zespół Centre ot Excellence & QSCert
Bibliografia:
- IT Governance – An international guide to data security and ISO 27001/ISO 27002, 8 ed., Steve Watkins, Alan Calder, ITGP 2024 JUNE: https://www.itgovernancepublishing.co.uk/product/it-governance-an-international-guide-to-data-security-and-iso-27001-iso-27002-eighth-edition
- ISO 27001 Controls – A guide to implementing and auditing, Second edition, Bridget Kenyon, ITGP 2024 July: https://www.itgovernancepublishing.co.uk/product/iso-27001-controls-a-guide-to-implementing-and-auditing-second-edition