ISO/IEC 27001:2013

ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements byla naposledy revidována 1. října 2013. První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002.

Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí.

Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rozsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci.

Mezi hlavní aspekty této části normy, které pokrývá, patří:

• harmonizace s normami pro další systémy řízení
• kontinuální zajištění procesu zlepšování řízení bezpečnosti informací
• celopodnikové řízení
• zajištění souladu s právními a regulatorními předpisy
• záruky za bezpečnost informací
• zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí
  

Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci.

Plánuj
Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace.

• Vymezení rozsahu ISMS
• Definování politiky ISMS
• Určení systematického přístupu k hodnocení rizik
• Identifikace rizik
• Analýza a vyhodnocení rizik
• Identifikace a vyhodnocení variant pro zvládání rizik
• Výběr cílů opatření a jednotlivých opatření pro zvládání rizik
• Získaní souhlasu vedení se zbytkovými riziky
• Získání souhlasu vedení k zavedení a provozu ISMS
• Příprava Prohlášení o aplikovatelnosti (SoA)
  

Dělej
Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur.

• Formulace Plánu zvládání rizik (RTP)
• Implementace Plánu zvládání rizik
• Implementace bezpečnostních opatření
• Určení postupů pro měření účinnosti zavedených opatření
• Implementace školení a vzdělávacích programů
• Řízení provozu ISMS
• Řízení zdrojů ISMS
• Implementace procedur pro zjištění/reakci na bezpečnostní incidenty
  

Kontroluj
Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení.

• Provedení monitorovacích procedur
• Provedení pravidelných přezkoumání účinnosti ISMS
• Měření účinnosti zavedených opatření
• Přezkoumání úrovně zbytkového a akceptovatelného rizika
• Provedení interního auditu ISMS
• Pravidelná analýza řízení ISMS
• Aktualizace bezpečnostních plánů
• Zaznamenání činností a událostí s vlivem na ISMS
  

Jednej
Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS.

• Implementace identifikovaných zlepšení ISMS
• Provedení nápravných a preventivních akcí
• Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami
• Zajištění zlepšování dosažených cílů