ISO/IEC 27001:2013
ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements byla naposledy revidována 1. října 2013. První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002.
Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí.
Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rozsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci.
Mezi hlavní aspekty této části normy, které pokrývá, patří:
- harmonizace s normami pro další systémy řízení
- kontinuální zajištění procesu zlepšování řízení bezpečnosti informací
- celopodnikové řízení
- zajištění souladu s právními a regulatorními předpisy
- záruky za bezpečnost informací
- zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí
Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci.
Plánuj
Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace.
- Vymezení rozsahu ISMS
- Definování politiky ISMS
- Určení systematického přístupu k hodnocení rizik
- Identifikace rizik
- Analýza a vyhodnocení rizik
- Identifikace a vyhodnocení variant pro zvládání rizik
- Výběr cílů opatření a jednotlivých opatření pro zvládání rizik
- Získaní souhlasu vedení se zbytkovými riziky
- Získání souhlasu vedení k zavedení a provozu ISMS
- Příprava Prohlášení o aplikovatelnosti (SoA)
Dělej
Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur.
- Formulace Plánu zvládání rizik (RTP)
- Implementace Plánu zvládání rizik
- Implementace bezpečnostních opatření
- Určení postupů pro měření účinnosti zavedených opatření
- Implementace školení a vzdělávacích programů
- Řízení provozu ISMS
- Řízení zdrojů ISMS
- Implementace procedur pro zjištění/reakci na bezpečnostní incidenty
Kontroluj
Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení.
- Provedení monitorovacích procedur
- Provedení pravidelných přezkoumání účinnosti ISMS
- Měření účinnosti zavedených opatření
- Přezkoumání úrovně zbytkového a akceptovatelného rizika
- Provedení interního auditu ISMS
- Pravidelná analýza řízení ISMS
- Aktualizace bezpečnostních plánů
- Zaznamenání činností a událostí s vlivem na ISMS
Jednej
Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS.
- Implementace identifikovaných zlepšení ISMS
- Provedení nápravných a preventivních akcí
- Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami
- Zajištění zlepšování dosažených cílů
|