ISO/IEC 27001 to międzynarodowa norma, która wyznacza standardy, jakie powinien spełniać system zarządzania bezpieczeństwem informacji w organizacji (SZBJ). Norma ta, jak wiele innych regulacji spod znaku Międzynarodowej Organizacji Normalizacyjnej, bazuje na cyklu Deminga (modelu PDCA).

Wdrażanie normy ISO/IEC 27001 a cykl Deminga

Wdrożenie oraz zarządzanie systemem bezpieczeństwa informacji wymaga cyklicznego podejścia znanego z modelu PDCA.

Faza planowania – ustanowienie SZBI

W ramach fazy planowania ma miejsce opracowanie polityki bezpieczeństwa, celów, procesów i procedur zarządzania ryzykiem oraz doskonalenia rozwiązań z zakresu bezpieczeństwa danych. Zarządzający powinni zadbać o to, by wszystkie działania podejmowane na tym etapie zostały udokumentowane, tak aby istniała możliwość ich odtworzenia czy wprowadzenia korekt w przyszłości. Norma zobowiązuje organizację do ustalenia akceptowalnego poziomu ryzyka oraz zaleca przygotowanie planu postępowania z ryzykiem zawierającego takie elementy, jak wykaz zabezpieczeń wraz z terminem ich wdrożenia czy harmonogram prac i podział obowiązków w procesie implementacji zabezpieczeń.

Faza wykonania – wdrożenie i eksploatacja SZBI

Na tym etapie dochodzi do wdrożenia i eksploatacji opracowanej polityki bezpieczeństwa i zaplanowanych zabezpieczeń. Dla urzeczywistnienia tych założeń konieczne jest przypisanie odpowiednich zasobów (materialnych i niematerialnych) umożliwiających swobodną implementację zabezpieczeń oraz przygotowanie oferty szkoleniowej dla pracowników, ukierunkowanej na podnoszenie ich wiedzy oraz świadomości w kontekście zagadnień bezpieczeństwa informacji.

Faza sprawdzania – monitorowanie i przegląd SZBI

Celem działań sprawdzających, obejmujących pomiar lub szacowanie wydajności procesów i wykonania polityki bezpieczeństwa, jest przedstawienie dowodów na to, że wdrożone zabezpieczenia okazały się skuteczne, a SZBJ działa zgodnie z planem. W sytuacji, gdy uzyskane wyniki okażą się niesatysfakcjonujące, należy wdrożyć działania naprawcze. Norma ISO 27001 dopuszcza szeroki zestaw narzędzi do testowania. Zarządzający organizacją mogą zdecydować się na m.in. audyt wewnętrzny, rutynowe sprawdzanie, analizę trendów lub wykorzystać narzędzie umożliwiające natychmiastowe wykrycie błędów, tj. samokontrolujące procesy.

Faza działania – utrzymanie i doskonalenie SZBI

W tej fazie wdrażane są wnioski z etapu sprawdzania w postaci czynności naprawczych (prewencyjnych) lub korygujących (reaktywnych) dla zapewnienia ciągłego doskonalenia SZBJ.