ISO/IEC 27001

ISO/IEC 27001:2013

ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements byla naposledy revidována 1. října 2013. První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002.

Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí.

Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rzsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci.

Mezi hlavní aspekty této části normy, které pokrývá, patří:

harmonizace s normami pro další systémy řízení
kontinuální zajištění procesu zlepšování řízení bezpečnosti informací
celopodnikové řízení
zajištění souladu s právními a regulatorními předpisy
záruky za bezpečnost informací
zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí
Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci.

Plánuj

Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace.
Vymezení rozsahu ISMS
Definování politiky ISMS
Určení systematického přístupu k hodnocení rizik
Identifikace rizik
Analýza a vyhodnocení rizik
Identifikace a vyhodnocení variant pro zvládání rizik
Výběr cílů opatření a jednotlivých opatření pro zvládání rizik
Získaní souhlasu vedení se zbytkovými riziky
Získání souhlasu vedení k zavedení a provozu ISMS
Příprava Prohlášení o aplikovatelnosti (SoA)

Dělej

Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur.
Formulace Plánu zvládání rizik (RTP)
Implementace Plánu zvládání rizik
Implementace bezpečnostních opatření
Určení postupů pro měření účinnosti zavedených opatření
Implementace školení a vzdělávacích programů
Řízení provozu ISMS
Řízení zdrojů ISMS
Implementace procedur pro zjištění/reakci na bezpečnostní incidenty

Kontroluj

Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení.
Provedení monitorovacích procedur
Provedení pravidelných přezkoumání účinnosti ISMS
Měření účinnosti zavedených opatření
Přezkoumání úrovně zbytkového a akceptovatelného rizika
Provedení interního auditu ISMS
Pravidelná analýza řízení ISMS
Aktualizace bezpečnostních plánů
Zaznamenání činností a událostí s vlivem na ISMS

Jednej

Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS.
Implementace identifikovaných zlepšení ISMS
Provedení nápravných a preventivních akcí
Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami
Zajištění zlepšování dosažených cílů