Seria ISO/IEC 27000

Seria ISO/IEC 27000 (znana również jako „rodzina norm ISMS” lub w skrócie „ISO27K”) obejmuje normy bezpieczeństwa informacji opublikowane wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC).

Seria zawiera zalecenia dotyczące najlepszych praktyk w zakresie zarządzania bezpieczeństwem informacji - zarządzania ryzykiem informacyjnym poprzez kontrole bezpieczeństwa informacji - w kontekście ogólnego systemu zarządzania bezpieczeństwem informacji (ISMS), podobnego w konstrukcji do systemów zarządzania zapewniających jakość (seria ISO 9000) , ochrony środowiska (seria ISO 14000) oraz innych systemów zarządzania.

Seria ma celowo szeroki zakres i obejmuje więcej niż tylko kwestie związane z prywatnością, poufnością i IT/technicznymi/cyberbezpieczeństwem. Ma zastosowanie do organizacji wszystkich kształtów i rozmiarów. Zachęca się wszystkie organizacje do oceny ryzyka związanego z informacjami, a następnie traktowania go (zwykle przy użyciu środków kontroli bezpieczeństwa informacji) zgodnie ze swoimi potrzebami, w stosownych przypadkach korzystając ze wskazówek i sugestii. Biorąc pod uwagę dynamiczną naturę ryzyka i bezpieczeństwa informacji, koncepcja SZBI obejmuje ciągłe informacje zwrotne i działania doskonalące w celu reagowania na zmiany w zagrożeniach, słabych punktach lub skutkach incydentów.

Normy są produktem ISO/IEC JTC 1 (Wspólny Komitet Techniczny 1) SC 27 (Podkomitet 27) , międzynarodowej organizacji, która spotyka się osobiście (bezpośrednio lub wirtualnie) dwa razy w roku.

Normy ISO/IEC są sprzedawane bezpośrednio przez ISO, głównie w języku angielskim, francuskim i chińskim. Punkty sprzedaży powiązane z różnymi krajowymi organami normalizacyjnymi również sprzedają bezpośrednio przetłumaczone wersje w kilku językach.

Wczesna historia

W rozwój i utrzymanie standardów ISO27K zaangażowanych jest wiele osób i organizacji. Pierwszą normą z tej serii była norma ISO/IEC 17799:2000; było to przyspieszone śledzenie istniejącej brytyjskiej normy BS 7799 część 1:1999. Pierwsza wersja BS 7799 była częściowo oparta na podręczniku polityki bezpieczeństwa informacji opracowanym przez Royal Dutch/Shell Group na przełomie lat 80. i 90. XX wieku. W 1993 roku ówczesny Departament Handlu i Przemysłu (Wielka Brytania) zwołali zespół do przeglądu istniejących praktyk w zakresie bezpieczeństwa informacji, w celu stworzenia dokumentu norm. W 1995 roku Grupa BSI opublikowała pierwszą wersję BS 7799 . Jeden z głównych autorów BS 7799 wspomina, że na początku 1993 roku „DTI postanowiło szybko zebrać grupę przedstawicieli przemysłu z siedmiu różnych sektorów: Shell ([David Lacey] i Les Riley), BOC Group (Neil Twist ), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) i Unilever (Rolf Moulton). David Lacey przypisuje zmarłemu Donnowi B. Parkerowi jako mający „oryginalny pomysł ustanowienia zestawu kontroli bezpieczeństwa informacji” i do stworzenia dokumentu zawierającego „zbiór około stu podstawowych kontroli” pod koniec lat 80. dla „kręgu bezpieczeństwa informacji I-4, który wymyślił i założył .

Opublikowane standardy

Opublikowane normy ISO27K związane z „bezpieczeństwem informacji, cyberbezpieczeństwem i ochroną prywatności” to:

ISO/IEC 27000 — Systemy zarządzania bezpieczeństwem informacji — Przegląd i słownictwo
ISO/IEC 27001 — Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Systemy zarządzania bezpieczeństwem informacji — Wymagania. - określa wymagania dla systemu zarządzania bezpieczeństwem informacji w ten sam sformalizowany, ustrukturyzowany i zwięzły sposób, jak inne normy ISO określają inne rodzaje systemów zarządzania.
ISO/IEC 27002 — Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Kontrola bezpieczeństwa informacji — zasadniczo szczegółowy katalog kontroli bezpieczeństwa informacji, którymi można zarządzać za pośrednictwem SZBI
ISO/IEC 27003 — Wytyczne dotyczące wdrażania systemu zarządzania bezpieczeństwem informacji
ISO/IEC 27004 — Zarządzanie bezpieczeństwem informacji — Monitorowanie, pomiary, analiza i ocena
ISO/IEC 27005 — Wytyczne dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji
ISO/IEC 27006 — Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji
ISO/IEC 27007 — Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji (skoncentrowane na audytowaniu systemu zarządzania)
ISO/IEC TR 27008 — Wytyczne dla audytorów dotyczące kontroli SZBI (skoncentrowane na kontroli kontroli bezpieczeństwa informacji)
ISO/IEC 27009 — Technologia informacyjna — Techniki bezpieczeństwa — Sektorowe zastosowanie ISO/IEC 27001 — Wymagania
ISO/IEC 27010 — Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej
ISO/IEC 27011 — Wytyczne zarządzania bezpieczeństwem informacji dla organizacji telekomunikacyjnych w oparciu o ISO/IEC 27002
ISO/IEC 27013 — Wytyczne dotyczące zintegrowanego wdrażania ISO/IEC 27001 i ISO/IEC 20000-1
ISO/IEC 27014 — Zarządzanie bezpieczeństwem informacji. (Mahncke ocenił ten standard w kontekście australijskiego e-zdrowia.)
ISO/IEC TR 27015 — Wytyczne dotyczące zarządzania bezpieczeństwem informacji dla usług finansowych (obecnie wycofane)
ISO/IEC TR 27016 — ekonomika bezpieczeństwa informacji
ISO/IEC 27017 — Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji w oparciu o ISO/IEC 27002 dla usług w chmurze
ISO/IEC 27018 — Kodeks postępowania w zakresie ochrony danych osobowych (PII) w chmurach publicznych działających jako podmioty przetwarzające dane osobowe
ISO/IEC 27019 — Bezpieczeństwo informacji dla sterowania procesami w przemyśle energetycznym
ISO/IEC 27021 — Wymagania kompetencyjne dla specjalistów ds. systemów zarządzania bezpieczeństwem informacji
ISO/IEC TS 27022 — Wytyczne dotyczące procesów systemu zarządzania bezpieczeństwem informacji — w trakcie opracowywania
ISO/IEC TR 27023 — Mapowanie poprawionych wydań ISO/IEC 27001 i ISO/IEC 27002
ISO/IEC 27028 — Wytyczne dotyczące atrybutów ISO/IEC 27002
ISO/IEC 27031 — Wytyczne dotyczące gotowości technologii informacyjno-komunikacyjnych do zapewnienia ciągłości działania
ISO/IEC 27032 — Wytyczne dotyczące cyberbezpieczeństwa
ISO/IEC 27033-1 — Bezpieczeństwo sieci — Część 1: Przegląd i koncepcje
ISO/IEC 27033-2 — Bezpieczeństwo sieci — Część 2: Wytyczne dotyczące projektowania i wdrażania zabezpieczeń sieci
ISO/IEC 27033-3 — Bezpieczeństwo sieci — Część 3: Scenariusze sieci odniesienia — Zagrożenia, techniki projektowania i kwestie kontroli
ISO/IEC 27033-4 — Bezpieczeństwo sieci — Część 4: Zabezpieczanie komunikacji między sieciami za pomocą bram bezpieczeństwa
ISO/IEC 27033-5 — Bezpieczeństwo sieci — Część 5: Zabezpieczanie komunikacji w sieciach za pomocą wirtualnych sieci prywatnych (VPN)
ISO/IEC 27033-6 — Bezpieczeństwo sieci — Część 6: Zabezpieczanie bezprzewodowego dostępu do sieci IP
ISO/IEC 27033-7 — Bezpieczeństwo sieci — Część 7: Wytyczne dotyczące bezpieczeństwa wirtualizacji sieci
ISO/IEC 27034-1 — Bezpieczeństwo aplikacji — Część 1: Wytyczne dotyczące bezpieczeństwa aplikacji
ISO/IEC 27034-2 — Bezpieczeństwo aplikacji — Część 2: Ramy normatywne organizacji
ISO/IEC 27034-3 — Bezpieczeństwo aplikacji — Część 3: Proces zarządzania bezpieczeństwem aplikacji
ISO/IEC 27034-4 — Bezpieczeństwo aplikacji — Część 4: Walidacja i weryfikacja (w trakcie opracowywania)
ISO/IEC 27034-5 — Bezpieczeństwo aplikacji — Część 5: Protokoły i struktura danych kontroli bezpieczeństwa aplikacji
ISO/IEC 27034-5-1 — Bezpieczeństwo aplikacji — Część 5-1: Struktura danych protokołów i kontroli bezpieczeństwa aplikacji, schematy XML
ISO/IEC 27034-6 — Bezpieczeństwo aplikacji — Część 6: Studia przypadków
ISO/IEC 27034-7 — Bezpieczeństwo aplikacji — Część 7: Ramy przewidywania pewności
ISO/IEC 27035-1 — Zarządzanie incydentami związanymi z bezpieczeństwem informacji — Część 1: Zasady zarządzania incydentami
ISO/IEC 27035-2 — Zarządzanie incydentami związanymi z bezpieczeństwem informacji — Część 2: Wytyczne dotyczące planowania i przygotowania reakcji na incydenty
ISO/IEC 27035-3 — Zarządzanie incydentami związanymi z bezpieczeństwem informacji — Część 3: Wytyczne dotyczące operacji reagowania na incydenty ICT
ISO/IEC 27035-4 — Zarządzanie incydentami związanymi z bezpieczeństwem informacji — Część 4: Koordynacja (w trakcie opracowywania)
ISO/IEC 27036-1 — Bezpieczeństwo informacji w relacjach z dostawcami — Część 1: Przegląd i koncepcje
ISO/IEC 27036-2 — Bezpieczeństwo informacji w relacjach z dostawcami — Część 2: Wymagania
bezpieczeństwa łańcucha dostaw technologii informacyjno-komunikacyjnych
ISO/IEC 27036-4 — Bezpieczeństwo informacji w relacjach z dostawcami — Część 4: Wytyczne dotyczące bezpieczeństwa usług w chmurze
ISO/IEC 27037 — Wytyczne dotyczące identyfikacji, gromadzenia, pozyskiwania i przechowywania dowodów cyfrowych
ISO/IEC 27038 — Specyfikacja redakcji cyfrowej dokumentów cyfrowych
ISO/IEC 27039 — Zapobieganie włamaniom
ISO/IEC 27040 — Bezpieczeństwo przechowywania
ISO/IEC 27041 — Zapewnienie dochodzenia
ISO/IEC 27042 — Analiza dowodów cyfrowych
ISO/IEC 27043 — Dochodzenie w sprawie incydentu
ISO/IEC 27050-1 — Odkrywanie elektroniki — Część 1: Przegląd i koncepcje
ISO/IEC 27050-2 — Wykrywanie elektroniczne — Część 2: Wytyczne dotyczące zarządzania i zarządzania wykrywaniem elektronicznym
ISO/IEC 27050-3 — Wykrywanie elektroniczne — Część 3: Kodeks postępowania w zakresie wykrywania elektronicznego
ISO/IEC 27050-4 — Odkrywanie elektroniki — Część 4: Gotowość techniczna
ISO/IEC TS 27110 — Technologia informacyjna, cyberbezpieczeństwo i ochrona prywatności — Wytyczne dotyczące rozwoju ram cyberbezpieczeństwa
ISO/IEC 27557 — Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Zastosowanie ISO 31000:2018 do zarządzania ryzykiem związanym z prywatnością w organizacji
ISO/IEC 27701 — Technologia informacyjna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — System zarządzania informacjami o prywatności (PIMS).
ISO 27799 — Zarządzanie bezpieczeństwem informacji w zdrowiu przy użyciu ISO/IEC 27002 (wytyczne dla organizacji z branży medycznej dotyczące ochrony osobistych informacji zdrowotnych przy użyciu ISO/IEC 27002)

w przygotowaniu

W przygotowaniu są kolejne standardy ISO27K obejmujące takie aspekty, jak bezpieczeństwo sztucznej inteligencji/uczenia maszynowego w kryminalistyce oraz bezpieczeństwo Internetu rzeczy, podczas gdy opublikowane standardy ISO27K są rutynowo przeglądane iw razie potrzeby aktualizowane mniej więcej co pięć lat.

Zobacz też

ISO/IEC JTC 1/SC 27 – Techniki bezpieczeństwa IT
BS 7799 , oryginalna brytyjska norma, z której wywodzą się ISO/IEC 17799, ISO/IEC 27002 i ISO/IEC 27001
System zarządzania dokumentacją
Ustawa Sarbanesa-Oxleya
Standard Dobrych Praktyk opublikowany przez Forum Bezpieczeństwa Informacji

Normy ISO według numeru normy
Lista norm ISO / latynizacje ISO / normy IEC
1–9999	1 2 3 4 6 7 9 16 17 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 68-1 128 216 217 226 228 233 259 261 262 302 306 361 500 518 519 639 -1 -2 -3 -5 -6 646 657 668 690 704 732 764 838 843 860 898 965 999 1000 1004 1007 1073-1 1073-2 1155 1413 1538 1629 1745 1989 2014 2015 2022 2033 2047 2108 2145 2146 2240 2281 2533 2709 2711 2720 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3601 3602 3864 3901 3950 3977 4031 4157 4165 4217 4909 5218 5426 5427 5428 5725 5775 5776 5800 5807 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6943 7001 7002 7010 7027 7064 7098 7185 7200 7498-1 _ 7637 7736 7810 7811 7812 7813 7816 7942 8000 8093 8178 8217 8373 8501-1 8571 8583 8601 8613 8632 8651 8652 8691 8805/8806 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9036 9075 9126 9141 9227 9241 9293 9314 9362 9407 9496 9506 9529 9564 9592/9593 9594 9660 9797-1 9897 9899 9945 9984 9985 9995
10000–19999	10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10628 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11889 11898 11940 ( -2 ) 11941 11941 (TR) 11992 12006 12182 12207 12234-2 12620 13211 -1 -2 13216 13250 13399 13406-2 13450 13485 13490 13567 13568 13584 13616 13816 14000 14031 14224 14289 14396 14443 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14617 14644 14649 14651 14698 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16355-1 16485 16612-2 16750 16949 (TS) 17024 17025 17100 17203 17369 17442 17506 17799 18004 18014 18245 18629 18916 19005 19011 19092 -1 -2 19114 19115 19125 19136 19407 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 19770 19775-1 19794-5 19831
20000–29999	20000 20022 20121 20400 20802 21000 21047 21500 21827 22000 22300 22395 23090-3 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 Seria 27000 27000 27001 27002 27005 27006 27729 28000 29110 29148 29199-2 29500
30000+	30170 31000 32000 37001 38500 40500 42010 45001 50001 55000 56000 80000
Kategoria

Normy IEC
Normy IEC	60027 60034 60038 60062 60063 60068 60112 60228 60269 60297 60309 60320 60364 60446 60559 60601 60870 60870-5 60870-6 60906-1 60908 60929 60958 61030 61131 61131-3 61131-9 61158 61162 61334 61355 61360 61400 61499 61508 61511 61784 61850 61851 61883 61960 61968 61970 62014-4 62026 62056 62061 62196 62262 62264 62304 62325 62351 62365 62366 62379 62386 62455 62680 62682 62700 63110 63119 63382
Normy ISO/IEC	646 2022 4909 5218 6429 6523 7810 7811 7812 7813 7816 7942 8613 8632 8652 8859 9126 9293 9496 9529 9592 9593 9899 9945 9995 10021 10116 10165 10179 10646 10967 11172 11179 11404 11544 11801 12207 13250 13346 13522-5 13568 13816 13818 14443 14496 14651 14882 15288 15291 15408 15444 15445 15504 15511 15693 15897 15938 16262 16485 17024 17025 18004 18014 19752 19757 19770 19788 20000 20802 21000 21827 23000 23003 23008 23270 23360 24707 24727 24744 24752 26300 27000 Seria 27000 27002 27040 29110 29119 33001 38500 42010 80000 81346
Powiązany	Międzynarodowa Komisja Elektrotechniczna