Zlepšování ISMS

8.1 Soustavné zlepšování

Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,

cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí, nápravných a preventivních

akcí a přezkoumání prováděných vedením organizace (viz kapitola 7).

8.2 Opatření k nápravě

Organizace musí provést příslušné činnosti pro odstranění nedostatků spojených

s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentované

postupy nápravných činností musí určit požadavky na:

a) identifikaci neshod v zavedení a/nebo provozu ISMS;

b) určení příčin neshod;

c) vyhodnocení potřeby opatření, kterým se zajistí, že se neshody znovu nevyskytnou;

d) určení a zavedení potřebných opatření k nápravě;

e) zaznamenání výsledků zavedených opatření (viz 4.3.3);

f) přezkoumání provedených nápravných opatření.

8.3 Preventivní opatření

Organizace musí určit opatření, která zabrání opakovanému výskytu neshod. Preventivní

opatření musí být přiměřená závažnosti možných problémů. Zdokumentovaný postup aplikace

preventivních činností musí definovat požadavky na:

a) identifikaci potenciálních neshod a jejich příčin;

b) vyhodnocení potřeby provedení činností k zamezení opětovnému výskytu neshod;

c) určení a zavedení potřebných preventivních opatření;

d) zaznamenání výsledků podniknutých opatření (viz 4.3.3);

e) přezkoumání provedených preventivních opatření;

Organizace musí identifikovat změny rizik a určit požadavky na nápravná opatření, zejména pak

u těch rizik jejichž změna byla významná.

Priorita preventivních opatření bude určena na základě výsledků hodnocení rizik.

POZNÁMKA

Opatření pro prevenci vzniku neshod jsou většinou finančně méně náročná než opatření

nápravná.

Příloha A

(normativní)

Cíle opatření a jednotlivá bezpečnostní opatření

Cíle opatření a jednotlivá bezpečnostní opatření v tabulce A.1 jsou přímo odvozeny a propojeny

s těmi, které jsou uvedeny v ISO/IEC 17799:2005 kapitola 5 až 15. Seznam opatření uvedených

v tabulce A.1 není vyčerpávající a organizace může považovat za potřebné přidat dodatečné

cíle opatření a jednotlivá opatření. Cíle opatření a jednotlivá opatření z těchto tabulek musí být

vybrány v rámci procesu zavádění ISMS, specifikovaném v kapitole 4.2.1.

ISO/IEC 17799:2005 kapitoly 5 až 15 poskytují doporučení a návod pro zavedení nejlepších

praktik pro podporu opatření uvedených v A.5 až A.15.

Tabulka A.1 – Cíle opatření a jednotlivá bezpečnostní opatření

A.5 Bezpečnostní politika

A.5.1 Bezpečnostní politika informací

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky

organice, příslušnými zákony a regulatorními požadavky.

A.5.1.1 Dokument bezpečnostní

politiky informací

A.5.1.2 Přezkoumání a

aktualizace bezpečnostní

politiky informací

Opatření

Dokument bezpečnostní politiky informací by měl být

schválen vedením organizace, vydán a být dán na

vědomí všem zaměstnancům a relevantním třetím

stranám.

Opatření

Pro zajištění její neustálé použitelnosti, přiměřenosti a

účinnosti by bezpečnostní politika informací měla být

přezkoumávána v plánovaných intervalech a vždy když

nastane významná změna.

A.6 Organizace bezpečnosti

A.6.1 Interní organizace

Cíl: Řídit bezpečnost informací v organizaci.

A.6.1.1 Závazek vedení Opatření

Vedení organizace by mělo stanovit jasný směr a

aktivně podporovat bezpečnost v rámci organizace.

Mělo by demonstrovat svůj závazek a jednoznačně

přiřadit a vymezit role v oblasti bezpečnosti informací.

A.6.1.2 Koordinace bezpečnosti

informací

A.6.1.3 Přidělení odpovědností

v oblasti bezpečnosti

informací

Opatření

Činnosti v oblasti bezpečnosti informací by měly být

koordinovány prostřednictvím zástupců různých útvarů

z celé organizace.

Opatření

Měly by být jednoznačně určeny odpovědnosti v oblasti

bezpečnosti informací.

A.6.1.4 Schvalovací proces zařízení

pro zpracování informací

A.6.1.5 Dohody o ochraně

důvěrných informací

A.6.1.6 Kontakt s orgány veřejné

správy

A.6.1.7 Kontakt se zájmovými

skupinami

A.6.1.8 Nezávislá přezkoumání

bezpečnosti informací

A.6.2 Externí subjekty

Opatření

Měl by být ustaven a zaveden postup schvalování

(vedoucími zaměstnanci) nových zařízení pro

zpracování informací.

Opatření

Měly by být určeny a v pravidelných intervalech

přezkoumávány dohody obsahující požadavky na

ochranu důvěrnosti nebo povinnost zachovávat

mlčenlivost, reflektující potřeby organizace na ochranu

informací.

Opatření

Měly by být udržovány přiměřené vztahy s orgány

veřejné správy.

Opatření

Měly by být udržovány přiměřené vztahy se zájmovými

skupinami nebo speciálními fóry na bezpečnost a

profesními sdruženími.

Opatření

Přístup organizace k řízení a implementaci bezpečnosti

informací (tj. cíle opatření, jednotlivá opatření, politiky,

směrnice a postupy) by měly být v pravidelných

intervalech (a nebo v případě jakékoliv významné

změny ve vztahu k bezpečnosti) nezávisle

přezkoumávány.

Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou přístupné,

zpracovávané, sdělované nebo spravované externími subjekty.

A.6.2.1 Identifikace rizik plynoucích

z přístupu externích subjektů

A.6.2.2 Bezpečnostní požadavky pro

přístup klientů

A.6.2.3 Bezpečnostní požadavky

v dohodách se třetí stranou

Opatření

Předtím, než je externím subjektům povolen přístup

k informacím organizace a zařízením pro zpracování

informací, by měla být identifikována rizika a

implementována vhodná opatření na jejich pokrytí.

Opatření

Předtím, než je klientům umožněn přístup k informací a

aktivům organizace by měly být zjištěny veškeré

požadavky na bezpečnost.

Opatření

Dohody, uzavřené s třetími stranami zahrnující přístup,

zpracování, šíření nebo správu informací organizace

nebo správu zařízení pro zpracování informací

(případně dodávku produktů nebo služeb k zařízení pro

zpracování informací), by měly pokrývat veškeré

relevantní bezpečnostní požadavky.

A.7 Klasifikace a řízení aktiv

A.7.1 Odpovědnost za aktiva

Cíl: Udržovat přiměřenou ochranu aktiv organizace.

A.7.1.1 Evidence aktiv Opatření

Měla by být identifikována všechna aktiva organizace,

všechna důležitá aktiva by měla být evidována a

seznam udržován aktuální.

A.7.1.2 Vlastnictví aktiv Opatření

Veškeré informace a aktiva související se zařízením pro

zpracování informací by měly mít určeného vlastníka7.

A.7.1.3 Přípustné použití aktiv Opatření

Měla by být ustavena, zdokumentována a do praxe

zavedena pravidla pro přípustné použití informací a

aktiv souvisejících se zařízením pro zpracování

informací.

A.7.2 Klasifikace informací

Cíl: Zajištění přiměřenosti ochrany informačních aktiv.

A.7.2.1 Doporučení pro klasifikaci Opatření

Informace by měly být klasifikovány a to ohledem na

jejich hodnotu, právní požadavky, citlivost a kritičnost.

A.7.2.2 Označování a nakládání

s informacemi

Opatření

Pro značení informací a zacházení s nimi by měly být

vytvořeny a do praxe zavedeny postupy, které jsou

v souladu s klasifikačním schématem přijatým organizací.