Úvod

0 Úvod

1.1 Všeobecně

Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení,

provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací

(Information Security Management Systems nebo ISMS). Přijetí ISMS by mělo být strategickým

rozhodnutím organizace. Návrh a zavedení ISMS v organizaci je podmíněno potřebami a cíli

činností (business) organizace a z toho vyplývajících požadavků na bezpečnost, dále pak

používanými procesy a velikostí a strukturou organizace. Všechny tyto a jejich podpůrné

systémy podléhají změnám v čase. Předpokládá se, že jednoduché situace vyžadují

jednoduchá řešení ISMS.

Tuto normu mohou využívat interní i externí subjekty, včetně certifikačních orgánů, k hodnocení

schopnosti organizace splnit vlastní požadavky, stejně jako požadavky dané zákonem nebo

požadavky zákazníků.

1.2 Procesní přístup

Tato mezinárodní norma prosazuje přijetí procesního přístupu pro ustavení, zavedení,

provozování, monitorování, udržování a zlepšování efektivnosti ISMS v organizaci.

Aby organizace fungovala efektivně, musí pojmenovat a řídit mnoho vzájemně propojených

činností. Činnost, která využívá zdroje a je řízena za účelem přeměny vstupů na výstupy, může

být považována za proces. Výstup z jednoho procesu často přímo tvoří vstup pro následující

proces.

Aplikace systému procesů v organizaci, spolu s identifikací těchto procesů, jejich vzájemným

působením a řízením může být označováno jako “procesní přístup”.

Při použití procesního přístupu tak, jak je prezentován v této normě, je kladen důraz na:

a) pochopení požadavků na bezpečnost informací a potřebu stanovení politiky a cílů

bezpečnosti informací;

b) zavedení a provádění kontrol v kontextu s řízením celkových rizik činností organizace;

c) monitorování a přezkoumání funkčnosti a efektivnosti ISMS;

d) neustálé zlepšování založené na objektivním měření.

Model známý jako “Plánuj-Dělej-Kontroluj-Jednej“ (Plan-Do-Check-Act nebo PDCA) může být

aplikován na všechny procesy ISMS tak, jak jsou zavedeny touto normou. Obrázek 1

znázorňuje, jak ISMS přijímá požadavky bezpečnosti informací a očekávání zainteresovaných

stran jako vstup, a jak pomocí nezbytných činností a procesů vytváří výstupy bezpečnosti

informací (např. řízenou bezpečnost informací), které splňují tyto požadavky a očekávání.

Obrázek 1 také znázorňuje propojení procesů uvedených v kapitolách 4, 5, 6, 7 a 8.

Zavedení modelu PDCA bude také odrážet principy, které jsou definovány ve směrnici OECD

(2002)1 pro řízení bezpečnosti informačních systémů a sítí. Norma ISO/IEC 27001 poskytuje

celistvý model pro zavedení principů definovaných v této směrnici, které upravují hodnocení

rizik, návrh a zavedení bezpečnosti, řízení bezpečnosti a opětovné hodnocení bezpečnosti.

PŘÍKLAD 1

Může být například požadováno, aby v případě narušení bezpečnosti nebyly způsobeny

organizaci vážné finanční škody ani jiné těžkosti (např. ztráta image).

PŘÍKLAD 2

Vyskytne-li se závažný incident, například napadení (hacking) eBusiness systému organizace

(web site) očekává se, že pro minimalizaci dopadů incidentu budou k dispozici dostatečně

vyškolení zaměstnanci.

1.3 Kompatibilita s jinými systémy řízení

Tato mezinárodní norma je propojena s normami ISO 9001:2000 a ISO 14001:2004 tak, aby

bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. Jeden vhodně navržený

systém řízení tak může naplnit požadavky všech tří norem. Tabulka C.1 znázorňuje vztah mezi

kapitolami ISO 27001:2005, ISO 9001:2000 a ISO 14001:2004.

Tato norma je navržena tak, aby organizaci umožnila propojit nebo integrovat ISMS

s odpovídajícími požadavky systémů řízení.

Informační technologie – Bezpečnostní techniky – Sytém řízení

bezpečnosti informací – Požadavky

Důležité upozornění

Tato publikace nemůže obsáhnout všechna opatření z oblasti jejího určení. Uživatelé

jsou sami odpovědni za její správné použití. Shoda s normou sama o sobě nezbavuje

organizaci odpovědnosti za splnění závazků vyplývajících ze zákona.

1 Působnost

1.1 Všeobecně

Tato mezinárodní norma je použitelná pro všechny typy organizací (např. komerční organizace,

státní organizace a úřady, neziskové organizace). Norma specifikuje požadavky na ustavení,

zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování dokumentovaného ISMS

v kontextu celkových rizik činností organizace. Specifikuje požadavky na zavedení

bezpečnostních opatření, upravených podle potřeb jednotlivých organizací nebo jejich částí.

ISMS je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření, adekvátně

chránící informační aktiva a poskytující odpovídající jistotu klientům a dalším zainteresovaným

stranám2.

POZNÁMKA 1

Slovo „business“ je v textu normy překládáno jako „činnost organizace“, v kontextu celé normy

jsou činnostmi organizace myšleny veškeré aktivity, které jsou důležité pro existenci organizace

a naplňování jejích cílů.

POZNÁMKA 2

ISO/IEC 17799 poskytuje doporučení, která mohou být použita při návrhu a realizaci

jednotlivých opatření.

1.2 Použití

Požadavky této normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez

ohledu na jejich typ, velikost a povahu činností. Vyřazení jakýchkoli požadavků

specifikovaných v odstavcích 4, 5, 6, 7 a 8 je v případě, že chce organizace dosáhnout

souladu s touto normou, nepřijatelné.

Jakékoliv vyřazení opatření, která byla identifikována jako nezbytná pro snížení rizik na

akceptovatelnou úroveň3, musí být opodstatněno a musí být doloženo, že rizika s tím spojená

byla akceptována odpovědnými osobami. Tam, kde se tato vyřazení provedou, lze akceptovat

nároky na soulad s touto normou, jedině pokud tato vyřazení neovlivní schopnost a/nebo

odpovědnost organizace zajistit bezpečnost informací v souladu s bezpečnostními požadavky

stanovenými analýzou rizik a odpovídajícími zákonnými a regulatorními požadavky.

POZNÁMKA

V případech, kdy má organizace již zaveden systém řízení (např. podle ISO 9001 nebo ISO

14001), je ve většině případů vhodné implementovat požadavky této normy v rámci existujícího

systému.