Zlepšování ISMS
8.1 Soustavné zlepšování
Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,
cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí, nápravných a preventivních
akcí a přezkoumání prováděných vedením organizace (viz kapitola 7).
8.2 Opatření k nápravě
Organizace musí provést příslušné činnosti pro odstranění nedostatků spojených
s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentované
postupy nápravných činností musí určit požadavky na:
a) identifikaci neshod v zavedení a/nebo provozu ISMS;
b) určení příčin neshod;
c) vyhodnocení potřeby opatření, kterým se zajistí, že se neshody znovu nevyskytnou;
d) určení a zavedení potřebných opatření k nápravě;
e) zaznamenání výsledků zavedených opatření (viz 4.3.3);
f) přezkoumání provedených nápravných opatření.
8.3 Preventivní opatření
Organizace musí určit opatření, která zabrání opakovanému výskytu neshod. Preventivní
opatření musí být přiměřená závažnosti možných problémů. Zdokumentovaný postup aplikace
preventivních činností musí definovat požadavky na:
a) identifikaci potenciálních neshod a jejich příčin;
b) vyhodnocení potřeby provedení činností k zamezení opětovnému výskytu neshod;
c) určení a zavedení potřebných preventivních opatření;
d) zaznamenání výsledků podniknutých opatření (viz 4.3.3);
e) přezkoumání provedených preventivních opatření;
Organizace musí identifikovat změny rizik a určit požadavky na nápravná opatření, zejména pak
u těch rizik jejichž změna byla významná.
Priorita preventivních opatření bude určena na základě výsledků hodnocení rizik.
POZNÁMKA
Opatření pro prevenci vzniku neshod jsou většinou finančně méně náročná než opatření
nápravná.
Příloha A
(normativní)
Cíle opatření a jednotlivá bezpečnostní opatření
Cíle opatření a jednotlivá bezpečnostní opatření v tabulce A.1 jsou přímo odvozeny a propojeny
s těmi, které jsou uvedeny v ISO/IEC 17799:2005 kapitola 5 až 15. Seznam opatření uvedených
v tabulce A.1 není vyčerpávající a organizace může považovat za potřebné přidat dodatečné
cíle opatření a jednotlivá opatření. Cíle opatření a jednotlivá opatření z těchto tabulek musí být
vybrány v rámci procesu zavádění ISMS, specifikovaném v kapitole 4.2.1.
ISO/IEC 17799:2005 kapitoly 5 až 15 poskytují doporučení a návod pro zavedení nejlepších
praktik pro podporu opatření uvedených v A.5 až A.15.
Tabulka A.1 – Cíle opatření a jednotlivá bezpečnostní opatření
A.5 Bezpečnostní politika
A.5.1 Bezpečnostní politika informací
Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky
organice, příslušnými zákony a regulatorními požadavky.
A.5.1.1 Dokument bezpečnostní
politiky informací
A.5.1.2 Přezkoumání a
aktualizace bezpečnostní
politiky informací
Opatření
Dokument bezpečnostní politiky informací by měl být
schválen vedením organizace, vydán a být dán na
vědomí všem zaměstnancům a relevantním třetím
stranám.
Opatření
Pro zajištění její neustálé použitelnosti, přiměřenosti a
účinnosti by bezpečnostní politika informací měla být
přezkoumávána v plánovaných intervalech a vždy když
nastane významná změna.
A.6 Organizace bezpečnosti
A.6.1 Interní organizace
Cíl: Řídit bezpečnost informací v organizaci.
A.6.1.1 Závazek vedení Opatření
Vedení organizace by mělo stanovit jasný směr a
aktivně podporovat bezpečnost v rámci organizace.
Mělo by demonstrovat svůj závazek a jednoznačně
přiřadit a vymezit role v oblasti bezpečnosti informací.
A.6.1.2 Koordinace bezpečnosti
informací
A.6.1.3 Přidělení odpovědností
v oblasti bezpečnosti
informací
Opatření
Činnosti v oblasti bezpečnosti informací by měly být
koordinovány prostřednictvím zástupců různých útvarů
z celé organizace.
Opatření
Měly by být jednoznačně určeny odpovědnosti v oblasti
bezpečnosti informací.
A.6.1.4 Schvalovací proces zařízení
pro zpracování informací
A.6.1.5 Dohody o ochraně
důvěrných informací
A.6.1.6 Kontakt s orgány veřejné
správy
A.6.1.7 Kontakt se zájmovými
skupinami
A.6.1.8 Nezávislá přezkoumání
bezpečnosti informací
A.6.2 Externí subjekty
Opatření
Měl by být ustaven a zaveden postup schvalování
(vedoucími zaměstnanci) nových zařízení pro
zpracování informací.
Opatření
Měly by být určeny a v pravidelných intervalech
přezkoumávány dohody obsahující požadavky na
ochranu důvěrnosti nebo povinnost zachovávat
mlčenlivost, reflektující potřeby organizace na ochranu
informací.
Opatření
Měly by být udržovány přiměřené vztahy s orgány
veřejné správy.
Opatření
Měly by být udržovány přiměřené vztahy se zájmovými
skupinami nebo speciálními fóry na bezpečnost a
profesními sdruženími.
Opatření
Přístup organizace k řízení a implementaci bezpečnosti
informací (tj. cíle opatření, jednotlivá opatření, politiky,
směrnice a postupy) by měly být v pravidelných
intervalech (a nebo v případě jakékoliv významné
změny ve vztahu k bezpečnosti) nezávisle
přezkoumávány.
Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou přístupné,
zpracovávané, sdělované nebo spravované externími subjekty.
A.6.2.1 Identifikace rizik plynoucích
z přístupu externích subjektů
A.6.2.2 Bezpečnostní požadavky pro
přístup klientů
A.6.2.3 Bezpečnostní požadavky
v dohodách se třetí stranou
Opatření
Předtím, než je externím subjektům povolen přístup
k informacím organizace a zařízením pro zpracování
informací, by měla být identifikována rizika a
implementována vhodná opatření na jejich pokrytí.
Opatření
Předtím, než je klientům umožněn přístup k informací a
aktivům organizace by měly být zjištěny veškeré
požadavky na bezpečnost.
Opatření
Dohody, uzavřené s třetími stranami zahrnující přístup,
zpracování, šíření nebo správu informací organizace
nebo správu zařízení pro zpracování informací
(případně dodávku produktů nebo služeb k zařízení pro
zpracování informací), by měly pokrývat veškeré
relevantní bezpečnostní požadavky.
A.7 Klasifikace a řízení aktiv
A.7.1 Odpovědnost za aktiva
Cíl: Udržovat přiměřenou ochranu aktiv organizace.
A.7.1.1 Evidence aktiv Opatření
Měla by být identifikována všechna aktiva organizace,
všechna důležitá aktiva by měla být evidována a
seznam udržován aktuální.
A.7.1.2 Vlastnictví aktiv Opatření
Veškeré informace a aktiva související se zařízením pro
zpracování informací by měly mít určeného vlastníka7.
A.7.1.3 Přípustné použití aktiv Opatření
Měla by být ustavena, zdokumentována a do praxe
zavedena pravidla pro přípustné použití informací a
aktiv souvisejících se zařízením pro zpracování
informací.
A.7.2 Klasifikace informací
Cíl: Zajištění přiměřenosti ochrany informačních aktiv.
A.7.2.1 Doporučení pro klasifikaci Opatření
Informace by měly být klasifikovány a to ohledem na
jejich hodnotu, právní požadavky, citlivost a kritičnost.
A.7.2.2 Označování a nakládání
s informacemi
Opatření
Pro značení informací a zacházení s nimi by měly být
vytvořeny a do praxe zavedeny postupy, které jsou
v souladu s klasifikačním schématem přijatým organizací.