Audit Zabezpečení Normy ISO
Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky
Sada norem ISO 27000 se zabývá systémem informační bezpečnosti, a se zákonem o kybernetické bezpečnosti má společné to, že organizační a technická opatření zmíněná v ZoKB z normy ISO 27001 vycházejí. Souvisí i možností, že lze prokázat splnění požadavků zákona a vyhlášky certifikací provedenou akreditovaným certifikačním orgánem ve znění § 29 VoKB nebo podle § 3 odst. 2 novely vyhlášky. Základní strukturu norem zachycuje Obrázek č. 10 a jsou v něm naznačeny návaznosti jednotlivých norem právě na normu ISO 27001, která specifikuje požadavky na ustavení, implementování, udržování a neustále zlepšování systému řízení bezpečnosti informací v rámci kontextu organizace (ISO 27001, 2014, s. 7).
ISO 27000 – Tento dokument obsahuje definici základních termínů z oblasti bezpečnosti informací používaných v celé sadě ISO 27000. Obrázek č. 10 zobrazuje strukturu a provázanost jednotlivých norem v rámci ISMS.
ISO 27001 – Obsahem této normy je definice požadavků na bezpečnost informací. Vůči této normě se posuzuje splnění požadavků na vytvoření, implementaci, provoz, sledování, revize, udržování a zlepšování systémů řízení bezpečnosti informací v kontextu rizik organizace a stanovuje požadavky na provádění bezpečnostních kontrol. Jednotlivé cíle a opatření jsou odvozeny z normy ISO 27002.
ISO 27002 – Tato norma definuje opatření bezpečnosti informací pro 35 hlavních kategorií a obsahuje114 kontrol. Je souborem best pracitce opatření (nejlepších postupů) pro bezpečnost informací.
ISO 27003 – Účelem této normy je podpora zavedení procesu řízení bezpečnosti informací, aby bylo možné zainteresovaným stranám poskytnout ujištění o udržování rizik v přijatelných mezích. Doporučení uvedená v této normě poskytují rady, jak postupovat při vývoji plánu zavádění pro ISMS v souladu s normou
ISO 27001. Další doporučení se věnují projektu zavádění systému ISMS do organizace a věnuje se kritickým aspektům úspěšného návrhu a zavádění.
ISO 27004 – Poskytovaná doporučení v této normě se zaměřují na vývoj a používání metrik, která hodnotí účinnost zavedení systému ISMS a opatření, či skupin opatření.
ISO 27005 – Doporučení této normy se zaměřují na řízení rizik bezpečnosti informací v kontextu organizace a podporují koncept specifikovaný v ISO 27001. Norma se věnuje se identifikaci aktiv, hrozeb, stávajících opatření, zranitelnosti a následků jako identifikaci rizik pro následnou analýzu a hodnocení rizik a jejich ošetření.
ISO 27006 – Tato norma obsahuje doporučení pro orgány, které vykonávají audit a certifikaci systémů ISMS, doplňuje a rozšiřuje normu ISO 17021-1 (Posuzování shody – Požadavky na orgány poskytující služby auditů a certifikace systémů managementu – Část 1: Požadavky) a ISO 27001. Je určena k podpoře procesu akreditace certifikačních orgánů poskytujících certifikaci ISMS, a je možné ji použít jako kriteriální dokument pro akreditaci, interní hodnocení nebo jiné auditní procesy.
ISO 27007 – V této normě jsou uvedeny doporučení pro řízení programu auditu ISMS a provádění auditů v souladu s ISO 27001. Jsou zde uvedena doporučení navazující na normu ISO 19011 (směrnice pro auditování systémů managementu) a smyslem normy ISO 27007 je uvést audit systémů managementu do kontextu bezpečnosti informací a upřesnit konkrétní oblasti pro auditování ISMS.
ISO 27032 – Obsahem této normy jsou doporučení pro zlepšení stavu kybernetické bezpečnosti. Věnuje se technickým opatřením, zahrnující přípravu na útoky, detekování a monitorování útoků a reakce na útoky. Zaměřuje se také na spolupráci, která musí probíhat bezpečným způsobem, a poskytuje i rámec pro sdílení informací, koordinaci a zvládání incidentů.