Co jsou tito standardy a jak s nimi pracovat. |
ISO 27001 | ||
Název | Obrázek | Popis |
Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací(Information Security Management Systems nebo ISMS). Přijetí ISMS by mělo být strategickýmrozhodnutím organizace. | ||
Pro použití tohoto dokumentu jsou nezbytné odkazy na následující dokumenty. U datovaných odkazů připadají v úvahu pouze uvedená vydání. U nedatovaných odkazů je myšleno jejichposlední vydání. | ||
Pro účely tohoto dokumentu jsou platné následující definice. | ||
Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavnězlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitýproces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1. | ||
Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,přezkoumání, udržování a zlepšování ISMS. | ||
Organizace musí provádět interní audity ISMS v naplánovaných intervalech, aby zjistila, zdacíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS: | ||
Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost,adekvátnost a efektivnost. | ||
Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí,nápravných a preventivníchakcí a přezkoumání prováděných vedením organizace | ||
Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svýmipovinnostmi, aby projednotlivé role byli vybráni vhodní kandidáti a snížit rizikolidské chyby, krádeže, podvodu nebo zneužitíprostředků organizace. | ||
Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům doprovozních budov a informací organizace. | ||
Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací. | ||
Cíl: Řídit přístup k informacím. | ||
Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů. | ||
Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožnívčasné zahájení kroků vedoucích k nápravě. | ||
Řízení kontinuity činností organizace z hlediska bezpečnosti informací | Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažnýchselhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu. | |
Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvníchpovinností a bezpečnostních požadavků. |
ISO 27002 | ||
Název | Obrázek | Popis |
Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobemchránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřebastále více aktuální. | ||
Pro účely tohoto dokumentu jsou platné následující definice. | ||
Norma obsahuje celkem 11 základních oddílů, které jsou dále rozděleny do 39 kategorií | ||
V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace. Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik,01 a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebojednotlivé informační systémy. | ||
Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organice, příslušnými zákony a regulatorními požadavky. | ||
Cíl: Řídit bezpečnost informací v organizaci. | ||
Cíl: Udržovat přiměřenou ochranu aktiv organizace. | ||
Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. | ||
Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Zařízení zpracovávající kritické nebo citlivé informace organizace, by měla být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tato zařízení by měla být fyzicky chráněna proti neautorizovanému přístupu, poškození a narušení. | ||
Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací. | ||
Cíl: Řídit přístup k informacím. | ||
Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů. | ||
Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který | ||
Řízení kontinuity činností organizace z hlediska bezpečnosti informací | Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky | |
Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo |