Przejdź do głównej zawartości

Iso27001

ISO/IEC 27001 to międzynarodowy standard dotyczący systemów zarządzania bezpieczeństwem informacji (ISMS). Dla Security Engineera stanowi punkt odniesienia do tworzenia, wdrażania i nadzorowania technicznych aspektów bezpieczeństwa w organizacji.

📘 Co to jest ISO 27001?

  • Norma określająca wymagania dla skutecznego zarządzania bezpieczeństwem informacji
  • Skupia się na ochronie poufności, integralności i dostępności danych
  • Obejmuje zarówno aspekty techniczne, jak i organizacyjne (ludzie, procesy, zasoby)
  • Może być certyfikowana przez niezależne podmioty (certyfikat ISO 27001)

🛠️ Kluczowe komponenty standardu

  • ISMS (Information Security Management System) – fundament całej normy
  • Ocena ryzyka – identyfikacja, analiza i zarządzanie ryzykiem
  • Polityki i procedury – np. polityka haseł, polityka backupów
  • Kontrole (Annex A) – zestaw 93 praktycznych zabezpieczeń (po aktualizacji w 2022 r.)
  • Raportowanie, monitorowanie i ciągłe doskonalenie – cykl PDCA

📋 Przykładowe kontrole techniczne z załącznika A

  • Zarządzanie tożsamością i dostępem (IAM)
  • Logowanie i monitorowanie (SIEM, logi systemowe)
  • Ochrona przed malware i exploitami
  • Bezpieczeństwo sieci (segmentacja, firewalle)
  • Kryptografia (szyfrowanie danych w spoczynku i w tranzycie)
  • Zarządzanie incydentami
  • Bezpieczeństwo środowisk deweloperskich

🎯 Rola Security Engineera

  • Doradztwo przy doborze zabezpieczeń technicznych zgodnych z ISO 27001
  • Przeglądy konfiguracji, systemów i polityk pod kątem zgodności z kontrolami
  • Udział w procesie oceny ryzyka i identyfikacji luk bezpieczeństwa
  • Zapewnienie logowania, backupów, MFA, aktualizacji, testów – zgodnie z wymaganiami normy
  • Współpraca z zespołem GRC (Governance, Risk & Compliance) i audytorami

✅ Dobre praktyki

  • Mapuj aktualne środki bezpieczeństwa do kontroli z Annex A
  • Automatyzuj zbieranie dowodów zgodności (np. logi, zrzuty konfiguracji)
  • Traktuj ISO nie jako checklistę, ale jako framework ciągłego doskonalenia
  • Uwzględnij wymagania ISO przy projektowaniu nowych usług / wdrożeń
  • Regularnie przeglądaj polityki i ryzyka – norma zakłada ciągłe aktualizacje

ISO 27001 nie mówi jak coś zrobić – ale mówi co musi być zrobione. Rolą Security Engineera jest przełożyć to na konkretne techniczne działania.