ISO 27035 – omówienie normy dotyczącej zarządzania incydentami bezpieczeństwa informacji

clock 4m 43s

Incydenty związane z bezpieczeństwem informacji mogą poważnie zaszkodzić każdej firmie. Aby chronić zasoby informacyjne organizacje muszą podejmować szereg działań mających na celu zapobieganie i skuteczne zarządzanie incydentami. Z pomocą przychodzi międzynarodowy standard ISO 27035.

ISO 27035 (lub ISO/IEC 27035) to międzynarodowa, rozpoznawalna na całym świecie norma zawierająca najlepsze praktyki i wytyczne w zakresie wdrażania Systemu Zarządzania Incydentami Bezpieczeństwa Informacji. Standard omawia podstawowe zasady zawiązane z szybką identyfikacją, oceną i efektywnym reagowaniem na incydenty bezpieczeństwa. Ponadto norma przedstawia procesy zarządzania incydentami, zdarzeniami i potencjalnymi lukami w bezpieczeństwie informacji.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

Norma ISO/IEC 27035 podzielona jest na trzy części, stanowiące oddzielne dokumenty. Zasady w nich zawarte mają zastosowanie do wszystkich organizacji, bez względu na rodzaj, wielkość czy branże, w której działają. Wytyczne można również zastosować do firm zewnętrznych, dostarczających usługi związane z zarządzaniem incydentami bezpieczeństwa informacji.

ISO 27035 definicja

Omówmy pokrótce każdą z trzech części standardu.

ISO 27035-1, Część 1: Zasady zarządzania incydentami

ISO 27035-1 stanowi fundament dla dwóch kolejnych części normy. Przedstawia podstawowe koncepcje oraz fazy zarządzania incydentami związanymi z bezpieczeństwem informacji. W standardzie mowa również o niektórych aspektach analizy luk w zabezpieczeniach IT.

ISO/IEC 27035-1 nie jest kompleksowym przewodnikiem, ale odniesieniem do pewnych podstawowych zasad, których celem jest zapewnienie, że odpowiednio zidentyfikowane i dostosowane narzędzia, techniki i metody mogą być przydatne, gdy zajdzie taka potrzeba.

Standard jest uzupełnieniem innych norm i dokumentów, zawierających wytyczne dotyczące badania oraz przygotowania do zarządzania incydentami bezpieczeństwa informacji.

Pierwsza część dokumentu ma także na celu zdefiniowanie procesu informowania decydentów, którzy muszą określić wiarygodność przedstawianych im dowodów cyfrowych.

ISO 27035-2, Cześć 2: Wytyczne dotyczące planowania i przygotowania do reagowania na incydenty

Norma ISO/IEC 27035-2 zawiera wytyczne dotyczące planowania i przygotowania do reagowania na incydenty. Wytyczne oparte są na etapie „Planowanie i przygotowanie" oraz „Wdrażanie wyciągniętych wniosków" modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części ISO 27035.

Główne punkty fazy „Planowanie i przygotowanie" obejmują:

  • politykę zarządzania zdarzeniami związanymi z bezpieczeństwem informacji i zaangażowanie najwyższego kierownictwa,
  • polityki w zakresie bezpieczeństwa informacji, w tym polityki dotyczące zarządzania ryzykiem, aktualizowane zarówno na poziomie korporacyjnym jak i na poziomie systemu, usługi i sieci,
  • plan zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • powołanie zespołu reagowania na incydenty (IRT),
  • nawiązywanie relacji i powiązań z organizacjami wewnętrznymi oraz zewnętrznymi,
  • wsparcie techniczne i inne (w tym wsparcie organizacyjne oraz operacyjne),
  • odprawy i szkolenia uświadamiające w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • testowanie planu zarządzania incydentami związanymi z bezpieczeństwem informacji.

ISO 27035-3, Część 3: Wytyczne dotyczące reagowania na incydenty w dziedzinie ICT

W trzeciej części normy ISO/IEC 27035 przedstawiono wytyczne dotyczące reagowania na incydenty w operacjach związanych z bezpieczeństwem teleinformatycznym. Zalecenia te dotyczą:

  • wykrywania incydentów bezpieczeństwa informacji,
  • raportowania,
  • klasyfikacji,
  • analizy,
  • reagowania,
  • powstrzymywania,
  • eliminowania,
  • odzyskiwania,
  • wyciągania wniosków.

ISO/IEC 27035-3 nie dotyczy operacji reagowania na incydenty inne niż ICT, takie jak np. utrata dokumentów w formie papierowej. Dokument skupia się na fazie „Wykrywanie i raportowanie”, „Ocena i decyzje” oraz „Reagowanie” modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części standardu.

Korzyści z wdrożenia normy

Stosowanie ustrukturyzowanego podejścia do zarządzania incydentami związanymi z bezpieczeństwem informacji może przynieść znaczące korzyści, m.in.:

  • poprawę ogólnego bezpieczeństwa informacji,
  • zmniejszenie negatywnego wpływu na biznes,
  • wzmocnienie koncentracji na zapobieganiu incydentom bezpieczeństwa informacji,
  • doskonalenie zasad priorytetyzacji zdarzeń,
  • wsparcie gromadzenia dowodów i dochodzenia,
  • pomoc w uzasadnieniu i uproszczeniu alokacji budżetów oraz zasobów,
  • ulepszenie aktualizacji wyników oceny ryzyka w zakresie bezpieczeństwa informacji i zarządzanie nim,
  • dostarczenie materiałów szkoleniowych i zwiększenie świadomości w zakresie bezpieczeństwa informacji.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna w biznesie?

Zasady zawarte w standardzie należy dostosować indywidulanie do organizacji

Wytyczne zawarte we normie ISO/IEC 27035 (i jej wszystkich częściach) są obszerne, a ich przyjęcie w całości mogłoby wymagać znacznych zasobów do obsługi i zarządzania. Dlatego ważne jest, aby firmy dostosowujące się do zaleceń standardu zachowały poczucie perspektywy i zapewniły, że zasoby stosowane do zarządzania incydentami bezpieczeństwa informacji oraz złożoność wdrożonych mechanizmów są proporcjonalne do następujących kwestii:

  • wielkości, struktury i charakteru działalności gospodarczej organizacji, w tym kluczowych krytycznych aktywów, procesów oraz danych, które powinny być chronione,
  • zakresu systemu zarządzania bezpieczeństwem informacji w odniesieniu do obsługi incydentów,
  • potencjalnych ryzyk wynikających z incydentów,
  • celów przedsiębiorstwa.

Organizacja korzystająca z ISO 27035 powinna zatem przyjąć jej wytyczne w sposób, który jest odpowiedni do skali i charakterystyki jej działalności.


Potrzebujesz wsparcia w zakresie wdrożenia w organizacji pełnego Systemu Zarządzania Bezpieczeństwem Informacji lub jego poszczególnych elementów? Sprawdź nasze usługi w tym zakresie lub napisz do nas kontakt@resilia.pl. Przygotujemy rozwiązanie dopasowane do potrzeb Twojej organizacji.


W ofercie naszych certyfikowanych szkoleń PECB posiadamy kurs PECB Certified ISO/IEC 27035 Lead Incident Manager – zapisz się, jeśli chcesz zdobyć specjalistyczną wiedzę.

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.