System Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001:2022 – wymagania, wdrażanie i utrzymanie

1. Wprowadzenie do ISO/IEC 27001

• Korzyści ze wdrożenia SZBI
• Zarządzanie ryzykiem
• Budowanie zaufania i odporności organizacji

2. Słownik kluczowych pojęć bezpieczeństwa informacji

• Aktywa, kontrola, poufność, integralność, dostępność
• Incydent i zdarzenie bezpieczeństwa
• Ryzyko, ocena ryzyka
• Tożsamość, uwierzytelnianie, uprawnienia
• Poufne / wrażliwe informacje
• Zarządzanie incydentami, PII, luka, zagrożenie
• Segregacja obowiązków, zarządzanie aktywami
• Klasyfikacja informacji, etykietowanie
• Kontrola dostępu
• Ochrona przed malware, praca zdalna, bezpieczeństwo fizyczne
• Bezpieczeństwo w łańcuchu dostaw ICT
• Kryptografia, chmura, monitorowanie, testy

3. Znaczenie i korzyści wdrożenia SZBI

• Ochrona aktywów
• Zgodność prawna i kontraktowa
• Budowanie reputacji i przewagi konkurencyjnej
• Minimalizacja ryzyk i kosztów
• Wsparcie ciągłości działania

4. Rodzina norm ISO/IEC 27000

• ISO 27000 – słownik
• ISO 27001 – wymagania certyfikacyjne
• ISO 27002 – wdrażanie zabezpieczeń
• ISO 27003 / 27004 / 27005 – wskazówki dot. wdrożeń, pomiaru, ryzyka
• Normy sektorowe (27017, 27018, 27701 itd.)

5. Struktura normy ISO/IEC 27001:2022

• Zakres
• Odniesienia normatywne
• Terminy i definicje
• Kontekst organizacji
• Przywództwo
• Planowanie
• Wsparcie
• Operacje
• Ocena efektów działania
• Doskonalenie

6. Cykl PDCA

• Plan → Do → Check → Act
• Rola w ciągłym doskonaleniu SZBI

7. Szczegółowe omówienie Załącznika A (kontrole A.5–A.8)

• A.5 – organizacyjne (polityki, role, segregacja obowiązków, kontakt z władzami, dostawcy, projekty)
• A.6 – ludzie (rekrutacja, szkolenia, dyscyplina, obowiązki po ustaniu zatrudnienia)
• A.7 – fizyczne (strefy, kontrola wejść, monitoring, ochrona przed zagrożeniami)
• A.8 – technologiczne (IAM, kryptografia, malware, DLP, backup, redundancja, monitoring, sieci, SDLC itd.)

8. Wymagania dokumentacyjne ISO/IEC 27001:2022

• Polityka bezpieczeństwa informacji
• Cele bezpieczeństwa
• Zakres SZBI
• Kryteria oceny ryzyka
• Proces postępowania z ryzykiem
• SoA – oświadczenie o stosowaniu
• Plany postępowania z ryzykiem
• Rejestry, dowody, zapisy audytów i przeglądów

9. Utrzymanie SZBI

• Ciągłe doskonalenie
• Reakcja na niezgodności
• Analiza przyczyn
• Przeglądy zarządzania

10. Audytowanie SZBI zgodnie z ISO 19011

• Definicja audytu
• Planowanie audytu
• Przegląd dokumentacji
• Zbieranie dowodów (wywiady, obserwacje, inspekcje, testy)
• Obserwacje audytowe
• Raportowanie
• Działania poaudytowe