ISO 2700/27002

Co jsou tito standardy a jak s nimi pracovat.

ISO 27001
Název	Obrázek	Popis
Úvod		Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací(Information Security Management Systems nebo ISMS). Přijetí ISMS by mělo být strategickýmrozhodnutím organizace.
Normativní odkazy		Pro použití tohoto dokumentu jsou nezbytné odkazy na následující dokumenty. U datovaných odkazů připadají v úvahu pouze uvedená vydání. U nedatovaných odkazů je myšleno jejichposlední vydání.
Termíny a definice		Pro účely tohoto dokumentu jsou platné následující definice.
Systém řízení bezpečnosti informací		Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavnězlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitýproces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1.
Odpovědnost vedení		Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,přezkoumání, udržování a zlepšování ISMS.
Interní audity ISMS		Organizace musí provádět interní audity ISMS v naplánovaných intervalech, aby zjistila, zdacíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS: a) vyhovují požadavkům této normy a odpovídající legislativě nebo regulatornímpožadavkům
Přezkoumání ISMS vedení organizace		Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost,adekvátnost a efektivnost.
Zlepšování ISMS		Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí,nápravných a preventivníchakcí a přezkoumání prováděných vedením organizace
Bezpečnost lidských zdrojů		Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svýmipovinnostmi, aby projednotlivé role byli vybráni vhodní kandidáti a snížit rizikolidské chyby, krádeže, podvodu nebo zneužitíprostředků organizace.
Fyzická bezpečnost a bezpečnost prostředí		Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům doprovozních budov a informací organizace.
Řízení komunikace a řízení provozu		Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací.
Řízení přístupu		Cíl: Řídit přístup k informacím.
Nákup, vývoj a údržba informačního systému		Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.
Zvládání bezpečnostních incidentů		Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožnívčasné zahájení kroků vedoucích k nápravě.
Řízení kontinuity činností organizace z hlediska bezpečnosti informací		Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažnýchselhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.
Soulad s požadavky		Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvníchpovinností a bezpečnostních požadavků.

ISO 27002
Název	Obrázek	Popis
Úvod		Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobemchránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřebastále více aktuální.
Termíny a definice		Pro účely tohoto dokumentu jsou platné následující definice.
Struktura normy		Norma obsahuje celkem 11 základních oddílů, které jsou dále rozděleny do 39 kategorií bezpečnosti. Mimo to jsou v kapitole 4 uvedeny základní informace o procesechhodnocení azvládání rizik.
Hodnocení a zvládání rizik		V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace. Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik,01 a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebojednotlivé informační systémy.
Bezpečnostní politiky		Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organice, příslušnými zákony a regulatorními požadavky. Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.
Organizace bezpečnosti		Cíl: Řídit bezpečnost informací v organizaci. Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací v organizaci.
Klasifikace a řízení aktiv		Cíl: Udržovat přiměřenou ochranu aktiv organizace. U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich vlastník.
Bezpečnost lidských zdrojů		Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace.
Fyzická bezpečnost a bezpečnost prostředí		Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Zařízení zpracovávající kritické nebo citlivé informace organizace, by měla být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tato zařízení by měla být fyzicky chráněna proti neautorizovanému přístupu, poškození a narušení.
Řízení komunikace a řízení provozu		Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací. Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů.
Řízení přístupu		Cíl: Řídit přístup k informacím. Přístup k informacím, zařízením pro zpracování informací a procesům organizace by měl být řízen na základě provozních a bezpečnostních požadavků.
Nákup, vývoj a údržba informačního systému		Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů. To zahrnuje provozní systémy, infrastrukturu, interní aplikace organizace, zakoupené produkty, služby a uživatelsky vyvinuté aplikace. Návrh a implementace informačního systému na podporu procesů organizace může být z hlediska bezpečnosti kritický.
Zvládání bezpečnostních incidentů		Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožní včasné zahájení kroků vedoucích k nápravě.
Řízení kontinuity činností organizace z hlediska bezpečnosti informací		Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažných selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu. Pro minimalizaci následků a zotavení se ze ztráty informačních aktiv (které může být např. výsledkem přírodních pohrom, nehod, chyb zařízení a úmyslného jednání) na přijatelnou úroveň, za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení kontinuity činností organizace.
Soulad s požadavky		Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků. Návrh, provoz a používání informačních systémů může být předmětem zákonných, podzákonných nebo smluvních bezpečnostních požadavků.