Rozwój rodziny standardów serii ISO 27000

Ogromne zainteresowanie bezpieczeństwem informacji oraz wydanie w 2005 roku międzynarodowego standardu ISO 27001 opartego na brytyjskim BS 7799-2:2002 zapoczątkowało dynamiczny rozwój norm dotyczących tego obszaru.

Początkowo planowano wydanie w kolejnych latach standardów oznaczonych numerami 27001 – 27006, jednakże zakres planowanych prac uległ znaczącemu rozszerzeniu – Międzynarodowy Komitet Normalizacyjny (ISO – International Organization for Standardization) zarezerwowała już 60 numerów dla tej serii standardów. Poniżej przedstawiamy zestawienie realizowanych lub planowanych projektów standaryzacyjnych wraz ich aktualnym statusem prac.

  1. ISO/IEC 27000 – Fundamentals and vocabulary – norma zawierać będzie podstawowe zasady, koncepcje i słownictwo wykorzystywane w standardach serii 27000. Wydanie oficjalnej wersji planowane jest na rok 2009.
  2. ISO/IEC 27001 – Specification for an Information Security Management System – norma określa wymagania dla budowy i funkcjonowania systemów zarządzania bezpieczeństwem informacji. Wydana w 2005 roku. Od stycznia 2007 dostępna jest również polska wersja PN-ISO/IEC 27001:2007.ISO/IEC 27002 – Code of Practice for Information Security Management – norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Wydanie z czerwca 2005 jest tożsame z funkcjonującą ISO 17799:2005. 6 lipca 2007 ISO wydało erratę dotyczącą zmiany w treści całego dokumentu „17799” na „27002”. Od stycznia 2007 dostępny jest również polski odpowiednik PN-ISO/IEC 17799:2007.
  3. ISO/IEC 27003 – Information security management system implementation guidance – norma zawierać będzie wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy ich wdrożeniu. Planowana data publikacji – październik 2008.
  4. ISO/IEC 27004 – Information security management measurements – norma dotyczyć będzie opomiarowania zarówno procesów zarządzania bezpieczeństwem jak i poszczególnych zabezpieczeń funkcjonujących w ramach systemów zarządzania bezpieczeństwem informacji. Planowana data publikacji – 2008 rok.
  5. ISO/IEC 27005 – Information security risk management – norma zawierać będzie wytyczne dla procesu zarządzania ryzykiem. Przewiduje się, iż będzie ona oparta o wydany w 2006 roku brytyjski standard BS 7799-3. Wydanie oficjalnej wersji planowane jest na rok 2009.
  6. ISO/IEC 27006 – Requirements for bodies providing audit and certification of information security management systems – norma wydana w połowie lutego 2007 określa wymagania dla jednostek przeprowadzających audyty certyfikacyjne systemów zarządzania bezpieczeństwem informacji.
  7. ISO/IEC 27007 – Guidelines for Information security management systems auditing – norma definiować będzie dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji. Przewiduje się, że będzie ona oparta o standard ISO 19011:2002. Prace nad ISO 27007 są w bardzo wczesnej fazie – nie określono jeszcze przewidywanej daty publikacji, spodziewać się można, że nie nastąpi to wcześniej niż w 2009 roku.
  8. ISO/IEC 27011 – Information security management guidelines for telecommunications – norma będzie stanowić rozszerzenie ISO 27001/27002 o dobre praktyki dla przemysłu telekomunikacyjnego. Prace nad tym standardem trwają, jednak nie należy spodziewać się ich ukończenia przed rokiem 2010.
  9. ISO/IEC 27031 – ICT readiness for business continuity (prawdopodobny tytuł) – standard dotyczyć będzie ciągłości działania. Przewiduje się, że opierać się będzie na standardach SS507 oraz BS 25999. Przewidywana data zakończenia prac nie jest znana.
  10. ISO/IEC 27032 – Guidelines for cybersecurity (prawdopodobny tytuł) – jest to propozycja dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. Nie opublikowano jednak bardziej szczegółowych informacji na jego temat.
  11. ISO/IEC 27033 – IT network security – jest to propozycja zastąpienia istniejącego standardu ISO/IEC 18028:2006 dotyczącego bezpieczeństwa sieci teleinformatycznych. Nie opublikowano jednak bardziej szczegółowych informacji na ten temat
  12. ISO/IEC 27034 – Guidelines for application security (prawdopodobny tytuł) – propozycja stworzenia standardu bezpieczeństwa dla aplikacji.  Nie opublikowano jednak bardziej szczegółowych informacji na ten temat
  13. ISO/IEC 27799 –    Security Management in Heath – wersja ISO 27002 dedykowana dla sektora medycznego. Organizacja ISO dystrybuuje projekt tego standardu. Oficjalne wydanie planowane jest na koniec 2009.