Tabela norm powiązanych z ISO/IEC 27001
Przegląd norm powiązanych z ISO/IEC 27001 (ISMS). Kolory pomagają ogarnąć, co jest czym: rdzeń systemu, kontrole, ryzyko, incydenty, audyt, chmura, prywatność i ciągłość działania. Czyli: mniej „paniki po mailu”, więcej procedury.
Filtr kolorów:
Wszystkie
Rdzeń ISMS
Kontrole
Ryzyko
Incydenty
KPI i pomiary
Audyt
Chmura
Prywatność
Ciągłość
Sortowanie:
| Norma | Zakres / opis | Powiązanie z ISO/IEC 27001 |
|---|---|---|
|
ISO/IEC 27001 – Bezpieczeństwo informacji
(Information security management systems — Requirements)
|
Wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS): kontekst, ryzyka, cele, operacje, ocena i doskonalenie. | Norma bazowa: „jak zorganizować ISMS” + ramy doboru zabezpieczeń (SoA). |
|
ISO/IEC 27002 – Kontrole bezpieczeństwa
(Information security, cybersecurity and privacy protection — Information security controls)
|
Zestaw kontroli i praktyk (zabezpieczeń) do budowy katalogu środków bezpieczeństwa. | Najbliższy „partner operacyjny” ISO 27001: pomaga dobrać i opisać kontrole w SoA. |
|
ISO/IEC 27005 – Zarządzanie ryzykiem
(Information security risk management)
|
Metodyka identyfikacji, analizy, oceny i traktowania ryzyka bezpieczeństwa informacji. | Dostarcza „jak liczyć ryzyko” pod obowiązek oceny ryzyk w ISO 27001. |
|
ISO/IEC 27035 – Zarządzanie incydentami
(Information security incident management)
|
Proces obsługi incydentów: wykrycie, klasyfikacja, reakcja, uczenie się i doskonalenie. | Wspiera wymagania ISO 27001 dotyczące reagowania na zdarzenia i ciągłego doskonalenia zabezpieczeń. |
|
ISO/IEC 27004 – Pomiary skuteczności ISMS
(Information security management — Monitoring, measurement, analysis and evaluation)
|
Jak mierzyć skuteczność ISMS i kontroli: wskaźniki, metody, interpretacja. | Wzmacnia ISO 27001 w części „monitorowanie i ocena” (KPI, dashboardy, przeglądy). |
|
ISO/IEC 27007 – Audyt ISMS
(Guidelines for information security management systems auditing)
|
Wytyczne audytowania ISMS: podejście, kompetencje, planowanie i techniki. | Uzupełnia ISO 19011 o specyfikę audytów bezpieczeństwa informacji. |
|
ISO/IEC 27008 – Audyt kontroli
(Guidelines for the assessment of information security controls)
|
Jak oceniać kontrole bezpieczeństwa (czy działają, jak są wdrożone, jakie dowody zbierać). | Ułatwia „dowodzenie” zgodności i skuteczności zabezpieczeń w audytach ISO 27001. |
|
ISO 19011 – Audyty systemów zarządzania
(Guidelines for auditing management systems)
|
Uniwersalne wytyczne audytu: zasady, program, metody, kompetencje audytorów. | Podstawa audytów wewnętrznych zintegrowanych (9001/14001/45001/27001). |
|
ISO/IEC 27017 – Bezpieczeństwo w chmurze
(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
|
Dodatkowe kontrole i wytyczne dla usług chmurowych (dla dostawcy i klienta chmury). | Rozszerza ISO 27001/27002 o specyfikę chmury (shared responsibility, konfiguracje, logi). |
|
ISO/IEC 27018 – Ochrona danych w chmurze
(Protection of personally identifiable information (PII) in public clouds acting as PII processors)
|
Ochrona danych osobowych (PII) w chmurze publicznej po stronie procesora. | Wspiera wymagania ISO 27001 w obszarze przetwarzania danych przez dostawców chmurowych. |
|
ISO/IEC 27701 – Zarządzanie prywatnością
(Privacy information management — Extension to ISO/IEC 27001 and ISO/IEC 27002)
|
Rozszerzenie ISMS o PIMS: role administrator/procesor, wymagania prywatności, kontrola PII. | Naturalna „nakładka” na ISO 27001, gdy w grze są dane osobowe i obowiązki RODO. |
|
ISO 22301 – Ciągłość działania
(Business continuity management systems — Requirements)
|
BCMS: przygotowanie na zakłócenia i odtwarzanie procesów (BIA, RTO/RPO, testy). | Wzmacnia ISO 27001 w obszarze dostępności, odporności i planów awaryjnych. |
