Zadania standaryzacji tych procesów podjęła się Międzynarodowa Organizacja Normalizacyjna - ISO International Organization for Standardization.
W roku 2000 została wydana pierwsza wersja normy ISO/IEC 17799, która była niemal identyczną kopią brytyjskiego standardu BS 7799-1 z roku 1995. W 2005 norma ISO/IEC 17799 została zaktualizowana, a następnie przemianowana na normę ISO/IEC 27002. Na przemianowanie miało wpływ dalsze ujednolicanie standardów dotyczących bezpieczeństwa informacji. Równocześnie, Polski Komitet Normalizacyjny wydał przetłumaczoną normę ISO/IEC 17799 pod nazwą PN-ISO/IEC 17799.
Obecnie najbardziej aktualna norma ISO/IEC 27002:2005 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji) określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Norma ta powstała w lipcu 2007 r. poprzez przemianowanie numeru normy z ISO/IEC 17799:2005 na ISO/IEC 27002:2005. Budowa tej normy związana jest ściśle z budową Załącznika A normy ISO/IEC 27001:2005. Dla każdego wymagania zdefiniowanego w tym załączniku w normie ISO 27002 zawarto odpowiednie zalecenia.
Powyższe wytyczne dotyczą następujących obszarów normy (oryginalna numeracja normy):
5. Polityka bezpieczeństwa.
6. Organizacja bezpieczeństwa informacji.
7. Zarządzanie aktywami.
8. Bezpieczeństwo zasobów ludzkich.
9. Bezpieczeństwo fizyczne i środowiskowe.
10. Zarządzanie systemami i sieciami.
11. Kontrola dostępu.
12. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych.
13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
14. Zarządzanie ciągłością działania.
15. Zgodność.
Drugi bardzo ważny standard stanowi ISO/IEC 27001. Norma ta pochodzi od brytyjskiego dokumentu BS 7799-2 z roku 1999 i określa wymagania związane z ustanowieniem oraz zarządzaniem sytemu zarządzania bezpieczeństwem informacji (SZBI).
Najnowsze wydanie polskiego tłumaczenia normy ma numer ISO/IEC 27001:2007.
Owocem pracy nad zebraniem i ujednoliceniem dotychczas powstałych opracowań poświęconych ochronie informacji oraz metod budowy systemu wspierającego ich ochronę, jest grupa norm ISO 27000. Rodzina norm ISO 27000 jest liczna i stale się rozrasta. Początkowo Międzynarodowy Komitet Normalizacyjny planował wydać normy oznaczone numerami w przedziale 27001 – 27006, jednakże zarówno ogromne zainteresowanie tematyką, jak i wciąż poszerzający się zakres prac Komitetu spowodował, iż zarezerwowano 60 numerów dla tej części standardów. Warto zwrócić uwagę na zestawienie dotychczas powstałych projektów standaryzacyjnych oraz projektów planowanych lub będących w trakcie realizacji:
1. ISO/IEC 27000 – Fundamentals and vocabulary – podstawowe zasady, koncepcje i słownictwo wykorzystywane w standardach serii 27000. Wydanie oficjalnej wersji planowane jest na rok 2009.
2. ISO/IEC 27001 – Specification for an Information Security Management System – norma określa wymagania dla budowy i funkcjonowania systemów zarządzania bezpieczeństwem informacji. Wydana w 2005 roku. Od stycznia 2007 dostępna jest również polska wersja: PN-ISO/IEC 27001:2007.
3. ISO/IEC 27002 – Code of Practice for Information Security Management – norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Wydanie w czerwcu 2005 jest tożsame z funkcjonującą ISO 17799:2005. 6 lipca 2007 ISO wydało erratę dotyczącą zmiany w treści całego dokumentu „17799” na „27002”. Od stycznia 2007 dostępny jest również polski odpowiednik PN-ISO/IEC 17799:2007.
4. ISO/IEC 27003 – Information security management system implementation guidance – norma zawierać będzie wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy ich wdrożeniu. Planowana data publikacji – październik 2008.
5. ISO/IEC 27004 – Information security management measurements – norma dotyczyć będzie opomiarowania zarówno procesów zarządzania bezpieczeństwem, jak i poszczególnych zabezpieczeń funkcjonujących w ramach systemów zarządzania bezpieczeństwem informacji. Planowana data publikacji – 2008 rok.
6. ISO/IEC 27005 – Information security risk management – norma zawierać będzie wytyczne dla procesu zarządzania ryzykiem. Przewiduje się, iż będzie ona oparta na wydanym w 2006 roku brytyjski standardzie BS 7799-3. Wydanie oficjalnej wersji planowane jest na rok 2009.
7. ISO/IEC 27006 – Requirements for bodies providing audit and certification of information security management systems – norma wydana w połowie lutego 2007 określa wymagania dla jednostek przeprowadzających audyty certyfikujące systemy zarządzania bezpieczeństwem informacji.
8. ISO/IEC 27007 – Guidelines for Information security management systems auditing – norma definiować będzie dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji. Przewiduje się, że będzie ona oparta na standardzie ISO 19011:2002. Prace nad ISO 27007 są w bardzo wczesnej fazie – nie określono jeszcze przewidywanej daty publikacji, spodziewać się można, że nie nastąpi to wcześniej niż w 2009 roku.
9. ISO/IEC 27011 – Information security management guidelines for telecommunications – norma będzie stanowić rozszerzenie ISO 27001/27002 o dobre praktyki dla przemysłu telekomunikacyjnego. Prace nad tym standardem trwają, jednak nie należy spodziewać się ich ukończenia przed rokiem 2010.
10. ISO/IEC 27031 – ICT readiness for business continuity (prawdopodobny tytuł) – standard dotyczyć będzie ciągłości działania. Przewiduje się, że opierać się będzie na standardach SS507 oraz BS 25999. Przewidywana data zakończenia prac nie jest znana.
11. ISO/IEC 27032 – Guidelines for cybersecurity (prawdopodobny tytuł) – jest to propozycja dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. Nie opublikowano jednak bardziej szczegółowych informacji na jego temat.
12. ISO/IEC 27033 – IT network security – jest to propozycja zastąpienia istniejącego standardu ISO/IEC 18028:2006 dotyczącego bezpieczeństwa sieci teleinformatycznych. Nie opublikowano jednak bardziej szczegółowych informacji na ten temat
13. ISO/IEC 27034 – Guidelines for application security (prawdopodobny tytuł) – propozycja stworzenia standardu bezpieczeństwa dla aplikacji. Nie opublikowano jednak bardziej szczegółowych informacji na ten temat.
14. ISO/IEC 27799 – Security Management in Heath – wersja ISO 27002 dedykowana dla sektora medycznego. Organizacja ISO dystrybuuje projekt tego standardu. Oficjalne wydanie planowane jest na koniec 2009.
W roku 2000 została wydana pierwsza wersja normy ISO/IEC 17799, która była niemal identyczną kopią brytyjskiego standardu BS 7799-1 z roku 1995. W 2005 norma ISO/IEC 17799 została zaktualizowana, a następnie przemianowana na normę ISO/IEC 27002. Na przemianowanie miało wpływ dalsze ujednolicanie standardów dotyczących bezpieczeństwa informacji. Równocześnie, Polski Komitet Normalizacyjny wydał przetłumaczoną normę ISO/IEC 17799 pod nazwą PN-ISO/IEC 17799.
Obecnie najbardziej aktualna norma ISO/IEC 27002:2005 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji) określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Norma ta powstała w lipcu 2007 r. poprzez przemianowanie numeru normy z ISO/IEC 17799:2005 na ISO/IEC 27002:2005. Budowa tej normy związana jest ściśle z budową Załącznika A normy ISO/IEC 27001:2005. Dla każdego wymagania zdefiniowanego w tym załączniku w normie ISO 27002 zawarto odpowiednie zalecenia.
Powyższe wytyczne dotyczą następujących obszarów normy (oryginalna numeracja normy):
5. Polityka bezpieczeństwa.
6. Organizacja bezpieczeństwa informacji.
7. Zarządzanie aktywami.
8. Bezpieczeństwo zasobów ludzkich.
9. Bezpieczeństwo fizyczne i środowiskowe.
10. Zarządzanie systemami i sieciami.
11. Kontrola dostępu.
12. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych.
13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
14. Zarządzanie ciągłością działania.
15. Zgodność.
Drugi bardzo ważny standard stanowi ISO/IEC 27001. Norma ta pochodzi od brytyjskiego dokumentu BS 7799-2 z roku 1999 i określa wymagania związane z ustanowieniem oraz zarządzaniem sytemu zarządzania bezpieczeństwem informacji (SZBI).
Najnowsze wydanie polskiego tłumaczenia normy ma numer ISO/IEC 27001:2007.
Owocem pracy nad zebraniem i ujednoliceniem dotychczas powstałych opracowań poświęconych ochronie informacji oraz metod budowy systemu wspierającego ich ochronę, jest grupa norm ISO 27000. Rodzina norm ISO 27000 jest liczna i stale się rozrasta. Początkowo Międzynarodowy Komitet Normalizacyjny planował wydać normy oznaczone numerami w przedziale 27001 – 27006, jednakże zarówno ogromne zainteresowanie tematyką, jak i wciąż poszerzający się zakres prac Komitetu spowodował, iż zarezerwowano 60 numerów dla tej części standardów. Warto zwrócić uwagę na zestawienie dotychczas powstałych projektów standaryzacyjnych oraz projektów planowanych lub będących w trakcie realizacji:
1. ISO/IEC 27000 – Fundamentals and vocabulary – podstawowe zasady, koncepcje i słownictwo wykorzystywane w standardach serii 27000. Wydanie oficjalnej wersji planowane jest na rok 2009.
2. ISO/IEC 27001 – Specification for an Information Security Management System – norma określa wymagania dla budowy i funkcjonowania systemów zarządzania bezpieczeństwem informacji. Wydana w 2005 roku. Od stycznia 2007 dostępna jest również polska wersja: PN-ISO/IEC 27001:2007.
3. ISO/IEC 27002 – Code of Practice for Information Security Management – norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Wydanie w czerwcu 2005 jest tożsame z funkcjonującą ISO 17799:2005. 6 lipca 2007 ISO wydało erratę dotyczącą zmiany w treści całego dokumentu „17799” na „27002”. Od stycznia 2007 dostępny jest również polski odpowiednik PN-ISO/IEC 17799:2007.
4. ISO/IEC 27003 – Information security management system implementation guidance – norma zawierać będzie wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy ich wdrożeniu. Planowana data publikacji – październik 2008.
5. ISO/IEC 27004 – Information security management measurements – norma dotyczyć będzie opomiarowania zarówno procesów zarządzania bezpieczeństwem, jak i poszczególnych zabezpieczeń funkcjonujących w ramach systemów zarządzania bezpieczeństwem informacji. Planowana data publikacji – 2008 rok.
6. ISO/IEC 27005 – Information security risk management – norma zawierać będzie wytyczne dla procesu zarządzania ryzykiem. Przewiduje się, iż będzie ona oparta na wydanym w 2006 roku brytyjski standardzie BS 7799-3. Wydanie oficjalnej wersji planowane jest na rok 2009.
7. ISO/IEC 27006 – Requirements for bodies providing audit and certification of information security management systems – norma wydana w połowie lutego 2007 określa wymagania dla jednostek przeprowadzających audyty certyfikujące systemy zarządzania bezpieczeństwem informacji.
8. ISO/IEC 27007 – Guidelines for Information security management systems auditing – norma definiować będzie dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji. Przewiduje się, że będzie ona oparta na standardzie ISO 19011:2002. Prace nad ISO 27007 są w bardzo wczesnej fazie – nie określono jeszcze przewidywanej daty publikacji, spodziewać się można, że nie nastąpi to wcześniej niż w 2009 roku.
9. ISO/IEC 27011 – Information security management guidelines for telecommunications – norma będzie stanowić rozszerzenie ISO 27001/27002 o dobre praktyki dla przemysłu telekomunikacyjnego. Prace nad tym standardem trwają, jednak nie należy spodziewać się ich ukończenia przed rokiem 2010.
10. ISO/IEC 27031 – ICT readiness for business continuity (prawdopodobny tytuł) – standard dotyczyć będzie ciągłości działania. Przewiduje się, że opierać się będzie na standardach SS507 oraz BS 25999. Przewidywana data zakończenia prac nie jest znana.
11. ISO/IEC 27032 – Guidelines for cybersecurity (prawdopodobny tytuł) – jest to propozycja dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. Nie opublikowano jednak bardziej szczegółowych informacji na jego temat.
12. ISO/IEC 27033 – IT network security – jest to propozycja zastąpienia istniejącego standardu ISO/IEC 18028:2006 dotyczącego bezpieczeństwa sieci teleinformatycznych. Nie opublikowano jednak bardziej szczegółowych informacji na ten temat
13. ISO/IEC 27034 – Guidelines for application security (prawdopodobny tytuł) – propozycja stworzenia standardu bezpieczeństwa dla aplikacji. Nie opublikowano jednak bardziej szczegółowych informacji na ten temat.
14. ISO/IEC 27799 – Security Management in Heath – wersja ISO 27002 dedykowana dla sektora medycznego. Organizacja ISO dystrybuuje projekt tego standardu. Oficjalne wydanie planowane jest na koniec 2009.
