3. Normy, standardy i zalecenia
dodatkowe zabezpieczenia; zwraca się przy tym uwagę na konieczność planowania tego typu działań.
• Uszczegółowiono zakres dotychczasowych kroków. Warto zwrócić uwagę na następujące zagadnienia:
— Polityka ISMS, jako bardzo zwięzły, ale i ogólny dokument sygnowany przez zarząd, dopiero wraz z wynikającymi z niego wymaganiami i procedurami odpowiada temu, co w starszej wersji określano mianem „Polityka bezpieczeństwa".
— Po wydaniu postanowień o zastosowaniu punktów kontroli -wymagań (SoA - Stałemcnt of Applicabilityi25), zaleca się przeprowadzenie ponownej oceny ryzyka w celu weryfikacji skutków tych działań.
— Poza koniecznością dokumentowania i gromadzenia informacji o funkcjonowaniu zaimplementowanych punktów kontroli, nowa wersja wprowadza dodatkowe działania, takie jak: zaangażowanie kierownictwa instytucji zarządzanie zasobami, szkolenia i działania uświadamiające, przeglądy kierownictwa, ciągłe doskonalenie i działania korygujące.
W dalszej części niniejszego podręcznika wielokrotnie będą wykorzystywane koncepcje wywodzące się z tej rodziny standardów.
Czołową, niezależną organizacją zajmującą się problemami audytu, kontroli i zarządzania w środowisku informatycznym jest założone w 1969 roku stowarzyszenie ISACA (Information Systems Audit and Control Association) [IN10], Skupia ono specjalistów z ponad stu krajów. W Polsce jego oddział działa od 1998 roku [1N11]. Jednym z celów ISACA było opracowanie i rozpowszechnianie standardów oraz wytycznych dotyczących audytu systemów teleinformatycznych.
Dokumenty publikowane przez ISACA zostały podzielone na dwie grupy:
• Dokumenty przeznaczone dla audytorów systemów teleinformatycznych:
— standardy - w zwięzły sposób określają podstawowe wymagania dotyczące prowadzenia audytu systemów teleinformatycznych i związanego z tym raportowania;
— wytyczne - dostarczają wskazówek do stosowania standardów;
— procedury - zawierają przykłady procedur, które mogą być stosowane podczas audytu i zawierają informacje, jak czynić zadość standardom, i nie mogą być przy tym traktowane jako standard lub jako wytyczna;
** Tak zwana deklaracja stasowania.