ISO/IEC 27001:2005

Information Security Management Systems

Information technology - Security techniques - Information

security management systems - Requirements

Překlad a interpretace pro české prostředí

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise)

tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO

nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí

zřízených příslušnou organizací k tomu, aby se zabývaly určitou oblastí technické činnosti.

V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují

i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk.

V oblasti informačních technologií zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC

1.

Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v části 2 Směrnic

ISO/IEC.

Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy

mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům

k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů.

Pozornost je třeba věnovat možnosti, že některé prvky tohoto dokumentu mohou být

předmětem patentových práv. ISO a IEC nenesou odpovědnost za identifikaci všech patentových

práv nebo kteréhokoliv z nich.

Mezinárodní norma ISO/IEC 27001 byla připravena společnou technickou komisí ISO/IEC JTC

1, Information technology, subkomise SC 27, IT Security techniques.

0 Úvod

1.1 Všeobecně

Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení,

provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací

(Information Security Management Systems nebo ISMS). Přijetí ISMS by mělo být strategickým

rozhodnutím organizace. Návrh a zavedení ISMS v organizaci je podmíněno potřebami a cíli

činností (business) organizace a z toho vyplývajících požadavků na bezpečnost, dále pak

používanými procesy a velikostí a strukturou organizace. Všechny tyto a jejich podpůrné

systémy podléhají změnám v čase. Předpokládá se, že jednoduché situace vyžadují

jednoduchá řešení ISMS.

Tuto normu mohou využívat interní i externí subjekty, včetně certifikačních orgánů, k hodnocení

schopnosti organizace splnit vlastní požadavky, stejně jako požadavky dané zákonem nebo

požadavky zákazníků.

1.2 Procesní přístup

Tato mezinárodní norma prosazuje přijetí procesního přístupu pro ustavení, zavedení,

provozování, monitorování, udržování a zlepšování efektivnosti ISMS v organizaci.

Aby organizace fungovala efektivně, musí pojmenovat a řídit mnoho vzájemně propojených

činností. Činnost, která využívá zdroje a je řízena za účelem přeměny vstupů na výstupy, může

být považována za proces. Výstup z jednoho procesu často přímo tvoří vstup pro následující

proces.

Aplikace systému procesů v organizaci, spolu s identifikací těchto procesů, jejich vzájemným

působením a řízením může být označováno jako “procesní přístup”.

Při použití procesního přístupu tak, jak je prezentován v této normě, je kladen důraz na:

a) pochopení požadavků na bezpečnost informací a potřebu stanovení politiky a cílů

bezpečnosti informací;

b) zavedení a provádění kontrol v kontextu s řízením celkových rizik činností organizace;

c) monitorování a přezkoumání funkčnosti a efektivnosti ISMS;

d) neustálé zlepšování založené na objektivním měření.

Model známý jako “Plánuj-Dělej-Kontroluj-Jednej“ (Plan-Do-Check-Act nebo PDCA) může být

aplikován na všechny procesy ISMS tak, jak jsou zavedeny touto normou. Obrázek 1

znázorňuje, jak ISMS přijímá požadavky bezpečnosti informací a očekávání zainteresovaných

stran jako vstup, a jak pomocí nezbytných činností a procesů vytváří výstupy bezpečnosti

informací (např. řízenou bezpečnost informací), které splňují tyto požadavky a očekávání.

Obrázek 1 také znázorňuje propojení procesů uvedených v kapitolách 4, 5, 6, 7 a 8.

Zavedení modelu PDCA bude také odrážet principy, které jsou definovány ve směrnici OECD

(2002)1 pro řízení bezpečnosti informačních systémů a sítí. Norma ISO/IEC 27001 poskytuje

celistvý model pro zavedení principů definovaných v této směrnici, které upravují hodnocení

rizik, návrh a zavedení bezpečnosti, řízení bezpečnosti a opětovné hodnocení bezpečnosti.

PŘÍKLAD 1

Může být například požadováno, aby v případě narušení bezpečnosti nebyly způsobeny

organizaci vážné finanční škody ani jiné těžkosti (např. ztráta image).

PŘÍKLAD 2

Vyskytne-li se závažný incident, například napadení (hacking) eBusiness systému organizace

(web site) očekává se, že pro minimalizaci dopadů incidentu budou k dispozici dostatečně

vyškolení zaměstnanci.

1.3 Kompatibilita s jinými systémy řízení

Tato mezinárodní norma je propojena s normami ISO 9001:2000 a ISO 14001:2004 tak, aby

bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. Jeden vhodně navržený

systém řízení tak může naplnit požadavky všech tří norem. Tabulka C.1 znázorňuje vztah mezi

kapitolami ISO 27001:2005, ISO 9001:2000 a ISO 14001:2004.

Tato norma je navržena tak, aby organizaci umožnila propojit nebo integrovat ISMS

s odpovídajícími požadavky systémů řízení.

Informační technologie – Bezpečnostní techniky – Sytém řízení

bezpečnosti informací – Požadavky

Důležité upozornění

Tato publikace nemůže obsáhnout všechna opatření z oblasti jejího určení. Uživatelé

jsou sami odpovědni za její správné použití. Shoda s normou sama o sobě nezbavuje

organizaci odpovědnosti za splnění závazků vyplývajících ze zákona.

1 Působnost

1.1 Všeobecně

Tato mezinárodní norma je použitelná pro všechny typy organizací (např. komerční organizace,

státní organizace a úřady, neziskové organizace). Norma specifikuje požadavky na ustavení,

zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování dokumentovaného ISMS

v kontextu celkových rizik činností organizace. Specifikuje požadavky na zavedení

bezpečnostních opatření, upravených podle potřeb jednotlivých organizací nebo jejich částí.

ISMS je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření, adekvátně

chránící informační aktiva a poskytující odpovídající jistotu klientům a dalším zainteresovaným

stranám2.

POZNÁMKA 1

Slovo „business“ je v textu normy překládáno jako „činnost organizace“, v kontextu celé normy

jsou činnostmi organizace myšleny veškeré aktivity, které jsou důležité pro existenci organizace

a naplňování jejích cílů.

POZNÁMKA 2

ISO/IEC 17799 poskytuje doporučení, která mohou být použita při návrhu a realizaci

jednotlivých opatření.

1.2 Použití

Požadavky této normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez

ohledu na jejich typ, velikost a povahu činností. Vyřazení jakýchkoli požadavků

specifikovaných v odstavcích 4, 5, 6, 7 a 8 je v případě, že chce organizace dosáhnout

souladu s touto normou, nepřijatelné.

Jakékoliv vyřazení opatření, která byla identifikována jako nezbytná pro snížení rizik na

akceptovatelnou úroveň3, musí být opodstatněno a musí být doloženo, že rizika s tím spojená

byla akceptována odpovědnými osobami. Tam, kde se tato vyřazení provedou, lze akceptovat

nároky na soulad s touto normou, jedině pokud tato vyřazení neovlivní schopnost a/nebo

odpovědnost organizace zajistit bezpečnost informací v souladu s bezpečnostními požadavky

stanovenými analýzou rizik a odpovídajícími zákonnými a regulatorními požadavky.

POZNÁMKA

V případech, kdy má organizace již zaveden systém řízení (např. podle ISO 9001 nebo ISO

14001), je ve většině případů vhodné implementovat požadavky této normy v rámci existujícího

systému.

2 Normativní odkazy

Pro použití tohoto dokumentu jsou nezbytné odkazy na následující dokumenty. U datovaných

odkazů připadají v úvahu pouze uvedená vydání. U nedatovaných odkazů je myšleno jejich

poslední vydání.

ISO/IEC 17799:2005, Information technology – Security techniques – Code of practice for

information security management

(Informační technologie – Bezpečnostní techniky – Soubor postupů pro řízení bezpečnosti

informací.)

3 Termíny a definice

Pro účely tohoto dokumentu jsou platné následující definice.

3.1

aktivum (asset)

cokoliv, co má pro organizaci nějakou hodnotu

[ISO/IEC 13335-1:2004]

3.2

dostupnost (availability)

zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby

[ISO/IEC 13335-1:2004]

3.3

důvěrnost (confidentiality)

zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni

[ISO/IEC 13335-1:2004]

3.4

bezpečnost informací (information security)

zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.

autentičnost, odpovědnost, nepopiratelnost a hodnověrnost

[ISO/IEC 17799:2005]

3.5

bezpečnostní událost (information security event)

bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné

porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat

o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací

[ISO/IEC TR 18044:2004]

3.6

bezpečnostní incident (information security incident)

bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních

událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace

a ohrožení bezpečnosti informací

3.7

systém řízení bezpečnosti informací ISMS (information security management

system)

část celkového systému řízení organizace, založená na přístupu (organizace) k rizikům činností,

která je zaměřena na ustavení, zavádění, provoz, monitorování, přezkoumání, udržování

a zlepšování bezpečnosti informací

POZNÁMKA

Systém řízení zahrnuje organizační strukturu, politiky, plánovací činnosti, odpovědnosti,

praktiky, postupy, procesy a zdroje.

3.8

integrita (integrity)

zajištění správnosti a úplnosti informací

[ISO/IEC 13335-1:2004]

3.9

zbytkové riziko (residual risk)

riziko, které zůstane po implementaci bezpečnostních opatření

[ISO/IEC Guide 73:2002]

3.10

akceptace rizika (risk acceptance)

rozhodnutí přijmout riziko

[ISO/IEC Guide 73:2002]

3.11

analýza rizik (risk analysis)

systematické používání informací k odhadu rizika a k určení jeho zdrojů

[ISO/IEC Guide 73:2002]

3.12

hodnocení rizik (risk assessment)

celkový proces analýzy a vyhodnocení rizik

[ISO/IEC Guide 73:2002]

3.13

vyhodnocení rizik (risk evaluation)

proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu

[ISO/IEC Guide 73:2002]

3.14

řízení rizik (risk management)

koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika

[ISO/IEC Guide 73:2002]

POZNÁMKA

Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci a seznámení s rizikem

3.15

zvládání rizik (risk treatment)

proces výběru a přijímání opatření pro změnu rizika

[ISO/IEC Guide 73:2002]

3.16

prohlášení o aplikovatelnosti (statement of applicability)

dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která

jsou relevantní a aplikovatelná v rámci ISMS organizace

POZNÁMKA

Cíle opatření a jednotlivá bezpečnostní opatření jsou založena na výsledcích a závěrech

procesů hodnocení a zvládání rizik, legislativních a regulatorních požadavcích, smluvních

závazcích a požadavcích organizace na bezpečnost informací.

4 Systém řízení bezpečnosti informací

4.1 Všeobecné požadavky

Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavně

zlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitý

proces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1.

4.2 Ustavení a řízení ISMS

4.2.1 Ustavení ISMS

Organizace musí provést následující.

a) Definovat rozsah a hranice ISMS na základě posouzení specifických rysů činností

organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií,

včetně důvodů pro vyjmutí z rozsahu ISMS (viz 1.2).

b) Definovat politiku ISMS na základě posouzení specifických rysů činností

organizace, její struktury, umístění aktiv a technologií, která:

1. zahrnuje rámec pro stanovení jejích cílů a ustavuje celkový směr řízení a rámec

zásad činností týkající se bezpečnosti informací;

2. bere v úvahu požadavky vyplývající z činností organizace a legislativní nebo

regulatorní požadavky a smluvní bezpečnostní závazky;

3. pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na

strategii organizace, její organizační strukturu a proces řízení rizik;

4. stanovuje kritéria, kterými bude hodnoceno riziko [viz 4.2.1 c)];

5. byla schválena vedením.

POZNÁMKA

Pro účely této normy je politika ISMS považována za nadřazenou bezpečnostní

politice organizace. Obě politiky mohou být součástí jednoho dokumentu.

c) Definovat systematický přístup k hodnocení rizik.

1. Určit metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti

informací, legislativním a regulatorním požadavkům.

2. Určit kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně [viz

5.1 f)].

Vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik

porovnatelné a reprodukovatelné.

POZNÁMKA

Pro hodnocení rizik existuje řada různých metodik. Příklady metodik pro hodnocení

rizik lze nalézt v normě ISO/IEC TR 13335-34, Information technology -- Guidelines

for the management of IT Security -- Part 3: Techniques for the management of IT

Security.

d) Identifikovat rizika.

1. Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky5.

2. Identifikovat hrozby pro tato aktiva.

3. Identifikovat zranitelnosti, které by mohly být hrozbami využity.

4. Identifikovat, jaké dopady na aktiva by mohla mít ztráta důvěrnosti, integrity

a dostupnosti.

e) Analyzovat a vyhodnocovat rizika.

1. Ohodnotit dopady na činnost organizace, které by mohly vyplynout ze selhání

bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti,

integrity nebo dostupnosti aktiv.

2. Ohodnotit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo

vyskytnout působením existujících hrozeb a zranitelností a dopady na

konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením.

3. Odhadnout úrovně rizik.

4. Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání podle kritérií

stanovených v 4.2.1c)2).

f) Identifikovat a vyhodnotit varianty pro zvládání rizik.

Možné činnosti zahrnují:

1. aplikování vhodných opatření;

2. vědomé a objektivní akceptování rizik za předpokladu, že naplňují politiku

organizace a kritéria pro akceptaci rizik [viz 4.2.1c)2)];

3. vyhnutí se rizikům;

4. přenesení rizik spojených s činností organizace na třetí strany, např. na

pojišťovny, dodavatele.

g) Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik.

Z přílohy A této normy musí být vybrány a implementovány vhodné cíle opatření a

jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě

výsledků procesů hodnocení a zvládání rizik. Při výběru musí být zohledněna

kritéria pro akceptaci rizik [viz 4.2.1c)], stejně tak jako legislativní, regulatorní a

smluvní požadavky.

Cíle opatření a jednotlivá bezpečnostní opatření uvedená v příloze A nejsou

vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření.

POZNÁMKA

Příloha A obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních

opatření, které byly shledány jako obecně použitelné pro všechny typy organizací.

Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla

opomenuta nebo přehlédnuta žádná z důležitých opatření.

h) Získat souhlas vedení organizace s navrhovanými zbytkovými riziky.

i) Získat povolení ze strany vedení organizace k zavedení a provozu ISMS.

j) Připravit Prohlášení o aplikovatelnosti.

Prohlášení o aplikovatelnosti musí obsahovat následující:

1. cíle opatření a jednotlivá bezpečnostní opatření vybrané v 4.2.1g) a důvody pro

jejich výběr;

2. cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci

implementována [viz 4.2.1e)2)];

3. vyřazené cíle opatření a jednotlivá vyřazená bezpečnostní opatření uvedená

v příloze A, včetně zdůvodnění pro jejich vyřazení.

POZNÁMKA

Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude

naloženo s identifikovanými riziky. Zdůvodnění pro vyřazení cílů a jednotlivých

opatření poskytuje zpětnou kontrolu zda nebyly vyřazeny omylem.

4.2.2 Zavádění a provozování ISMS

Organizace musí provést následující:

a) Formulovat plán zvládání rizik, který vymezí odpovídající řídící činnosti, zdroje,

odpovědnosti a priority pro řízení rizik bezpečnosti informací (viz kapitola 5).

b) Zavést plán zvládání rizik tak, aby dosáhla určených cílů opatření, přičemž vezme

v úvahu finanční a lidské zdroje a přiřazení rolí a odpovědností.

c) Zavést bezpečnostní opatření vybraná v 4.2.1 g) pro dosažení (naplnění) cílů těchto

opatření.

d) Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření

a stanovit jakým způsobem budou tato měření použita k vyhodnocení účinnosti opatření

tak, aby závěry hodnocení byly porovnatelné a opakovatelné [viz 4.2.3c)].

POZNÁMKA

Měření účinnosti opatření poskytuje vedení organizace a zaměstnancům informaci

o tom, jak jednotlivá opatření naplňují plánované cíle.

e) Zavést programy školení a programy zvyšování bezpečnostního povědomí (viz 5.2.2).

f) Řídit provoz ISMS.

g) Řídit zdroje ISMS (viz 5.2).

h) Zavést postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události

a postupy reakce na bezpečnostní incidenty [viz 4.2.3a)].

4.2.3 Monitorování a přezkoumání ISMS

Organizace musí provést následující:

a) Monitorovat, přezkoumávat a zavést další opatření:

1. pro včasnou detekci chyb zpracování;

2. pro včasnou detekci úspěšných i neúspěšných pokusů o narušení bezpečnosti

a detekci bezpečnostních incidentů;

3. umožňující vedení organizace určit, zda bezpečnostní aktivity, prováděné

pověřenými osobami nebo pro které byly implementovány technologie, fungují

dle očekávání;

4. umožňující detekci bezpečnostních událostí a zabránění tak vzniku

bezpečnostních incidentů;

5. umožňující vyhodnocení účinnosti činností podniknutých při narušení

bezpečnosti.

b) Pravidelně přehodnocovat účinnost ISMS (včetně splnění politiky ISMS, cílů

a analýzy bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů,

incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech

zainteresovaných stran.

c) Měřit účinnost zavedených opatření pro ověření toho, zda byly naplněny

požadavky na bezpečnost.

d) V plánovaných intervalech provádět přezkoumání hodnocení rizik

a přehodnocování úrovně zbytkového a akceptovatelného rizika s ohledem na

změny:

1. organizace;

2. technologií;

3. cílů činností organizace a procesů;

4. identifikovaných hrozeb;

5. účinnosti zavedených opatření;

6. regulatorního a právního prostředí, změny vyplývající ze smluvních závazků,

změny sociálního klima.

e) Provádět interní audity ISMS v plánovaných intervalech (viz kapitola 6).

POZNÁMKA

Interní audity jsou prováděny přímo organizací nebo externími auditory. Jejich

cílem může být například prověření systému řízení před samotným certifikačním

auditem.

f) Na úrovni vedení organizace pravidelně přehodnocovat ISMS, aby se zajistilo, že jeho

rozsah je i nadále odpovídající, a že se daří nacházet možnosti zlepšení (viz 7.1).

g) Aktualizovat bezpečnostní plány s ohledem na nálezy zjištěné v rámci

monitorování a přezkoumání.

h) Zaznamenávat všechny činnosti a události, které by mohly mít dopad na účinnost

nebo výkon ISMS (viz 4.3.3).

4.2.4 Udržování a zlepšování ISMS

Organizace musí pravidelně provádět následující:

a) Zavádět identifikované možnosti vylepšení ISMS.

b) Provádět odpovídající nápravné a preventivní činnosti v souladu s 8.2 a 8.3 s

využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných

organizací.

c) Projednávat činnosti a návrhy na zlepšení na požadované úrovni detailu se všemi

zainteresovanými stranami a domluvit další postup.

d) Zaručit, že zlepšení dosáhnou předpokládaných cílů.

4.3 Požadavky na dokumentaci

4.3.1 Všeobecně

Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením organizace.

Veškeré činnosti musí být zpětně identifikovatelné v politikách a dohledatelné záznamech o

rozhodnutí vedením. Veškeré činnosti musí být zaznamenány, aby se zajistila jejich

opakovatelnost.

Je důležité mít zdokumentován, a na požádání doložit, vztah mezi vybranými opatřeními

a závěry z procesů hodnocení a zvládání rizik a následně vazbu zpět na politiku a cíle ISMS.

Dokumentace ISMS musí obsahovat následující:

a) dokumentovaná prohlášení politiky a cílů ISMS [viz 4.2.1 b)];

b) rozsah ISMS [viz 4.2.1 a)];

c) postupy a opatření podporující ISMS;

d) popis použitých metodik hodnocení rizik [viz 4.2.1c)];

e) zprávu o hodnocení rizik [viz 4.2.1 c) až 4.2.1 g)];

f) plán zvládání rizik [viz 4.2.2 b)];

g) dokumentované postupy nezbytné pro zajištění efektivního plánování, provozu a řízení

procesů bezpečnosti informací organizace a popis toho jakým způsobem je měřena

účinnost zavedených opatření [viz 4.2.3c)];

h) záznamy vyžadované touto normou (viz 4.3.3);

i) prohlášení o aplikovatelnosti.

POZNÁMKA 1

Termín “dokumentovaný postup” v této normě znamená, že je tento postup vytvořen,

dokumentován, zaveden a udržován.

POZNÁMKA 2

Rozsah dokumentace ISMS se může pro jednotlivé organizace lišit, závisí na:

- velikosti organizace a typu její činnosti;

- rozsahu a složitost systému jenž je řízen a požadavcích na bezpečnost.

POZNÁMKA 3

Dokumenty a záznamy mohou být v jakékoliv formě a na jakémkoliv nosiči.

4.3.2 Řízení dokumentů

Dokumenty požadované ISMS musí být chráněny a řízeny. Musí být vytvořen dokumentovaný

postup tak, aby vymezil řídící činnosti potřebné k:

a) schvalování obsahu dokumentů před jejich vydáním;

b) přezkoumání dokumentů, popřípadě jejich aktualizaci a opakovanému schvalování;

c) zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů;

d) zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich

používání;

e) zajištění čitelnosti a snadné identifikovatelnosti dokumentů;

f) zajištění dostupnosti dokumentů pro všechny, kteří je potřebují, zajištění přenášení,

ukládání a likvidace dokumentů v souladu s postupy odpovídající jejich klasifikaci;

g) zajištění identifikace dokumentů externího původu;

h) zajištění řízené distribuce dokumentů;

i) zabránění neúmyslného použití zastaralých dokumentů;

j) aplikování jejich vhodné identifikace pro případ dalšího použití.

4.3.3 Řízení záznamů

Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky

a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit

všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat

čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná

k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být

dokumentována.

Musí být udržovány záznamy o fungování a efektivnosti procesu budování a řízení ISMS, jak je

popsáno v kapitole 4.2. Dále musí být udržovány záznamy o všech výskytech bezpečnostních

incidentů, vztahujících se k ISMS.

PŘÍKLAD

Příklady záznamů jsou návštěvní kniha, záznamy z auditu a záznam o autorizaci přístupu.

5 Odpovědnost vedení

5.1 Závazek vedení

Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,

přezkoumání, udržování a zlepšování ISMS tak, že:

a) ustanoví politiku ISMS;

b) zajistí stanovení cílů ISMS a plánu jejich dosažení;

c) stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací;

d) propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu

s politikou bezpečnosti informací, plnění povinností vyplývajících ze zákona a potřebu

soustavného zlepšování;

e) zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání,

údržbu a zlepšování ISMS (viz 5.2.1);

f) stanoví svým rozhodnutím akceptovatelnou úroveň rizika;

g) zajistí provádění interních auditů ISMS (viz kapitola 6);

h) provede přezkoumání ISMS (viz kapitola 7).

5.2 Řízení zdrojů

5.2.1 Zajištění zdrojů

Organizace musí určit a zajistit zdroje potřebné pro:

a) ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování ISMS;

b) zajištění podpory cílů činností organizace postupy bezpečnosti informací;

c) určení a věnování náležité pozornosti zákonným a regulatorním požadavkům a

smluvním bezpečnostním závazkům;

d) udržování odpovídající úrovně bezpečnosti správnou aplikací všech zavedených

opatření;

e) provedení přezkoumání podle potřeby a zajištění odpovídajících reakcí na jejich

výsledky;

f) zlepšení efektivnosti ISMS podle potřeby.

5.2.2 Školení, vědomí závažnosti a odborná způsobilost

Organizace musí zajistit, aby zaměstnanci, kterých se týkají povinnosti určené v ISMS, byli

kompetentní k výkonu požadovaných úkolů. Zajišťuje to pomocí:

a) určení nezbytných kompetencí personálu vykonávajícího práci ovlivňující ISMS;

b) zajištění odpovídajícího školení nebo podniknutí jiných kroků (např. zaměstnání

kvalifikovaného personálu);

c) vyhodnocení efektivnosti zajištěného školení a provedených činností;

d) udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních

předpokladech (viz 4.3.3).

Organizace musí také zajistit, aby si byl veškerý příslušný personál vědom závažnosti

a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS.

6 Interní audity ISMS

Organizace musí provádět interní audity ISMS v naplánovaných intervalech, aby zjistila, zda

cíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS:

a) vyhovují požadavkům této normy a odpovídající legislativě nebo regulatorním

požadavkům;

b) vyhovují stanoveným požadavkům na bezpečnost informací;

c) jsou zavedeny a udržovány efektivně;

d) fungují tak, jak se očekává.

Program auditu musí být naplánován s ohledem na stav a význam auditovaných procesů

a oblastí a s ohledem na výsledky předchozích auditů. Musí být definována kritéria auditů, jejich

rozsah, četnost a metody. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu

a nestrannost procesu auditu. Auditoři nesmí prověřovat svou vlastní práci.

Odpovědnosti a požadavky na plánování a provedení auditů, na hlášení výsledků a udržování

záznamů (viz 4.3.3) musí být určeny dokumentovaným postupem.

Vedoucí zaměstnanci odpovědní za oblast, která je předmětem auditu musí zajistit, že kroky na

odstranění zjištěných nedostatků jsou prováděny bez zbytečného odkladu. Tyto kroky musí

obsahovat zpětnou kontrolu a hlášení o výsledcích této kontroly (viz kapitola 8).

POZNÁMKA

Norma ISO 190011:20026, Guidelines for duality and/or environmental management systems

auditing, může být dobrým zdrojem doporučení jak provádět interní audity ISMS.

7 Přezkoumání ISMS vedením organizace

7.1 Všeobecně

Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech

(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost, adekvátnost a efektivnost.

Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně

bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání musí být jasně

zdokumentovány a musí být o nich udržovány záznamy (viz 4.3.3).

7.2 Vstup pro přezkoumání

Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o:

a) výsledcích auditů a přezkoumání ISMS;

b) zpětné vazbě od zainteresovaných stran;

c) technikách, produktech nebo postupech, které by mohly být použity v organizaci ke

zlepšení výkonu a efektivnosti ISMS;

d) stavu preventivních opatření a stavu opatření k nápravě;

e) slabinách nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována

náležitá pozornost;

f) závěrech měření účinnosti zavedených opatření;

g) činnostech, které následovaly po předchozích přezkoumání vedením organizace (tj.

vyplývaly z jeho závěrů);

h) změnách, které by mohly ovlivnit ISMS;

i) doporučeních pro zlepšování.

7.3 Výstup z přezkoumání

Výstupy přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a

činnosti vztahující se k:

a) zvyšování efektivnosti ISMS;

b) aktualizaci hodnocení rizik a plánu zvládání rizik;

c) nezbytným změnám postupů bezpečnosti informací, v reakci na vnitřní nebo vnější

události, které by mohly mít vliv na ISMS. Změny se mohou týkat:

1) požadavků spojených s činností organizace;

2) bezpečnostních požadavků;

3) procesů organizace ovlivňujících existující požadavky spojené s činností

organizace;

4) regulatorních nebo zákonných požadavků;

5) smluvních závazků;

6) úrovní rizika a/nebo úrovní akceptovatelnosti rizika.

d) potřebě zdrojů;

e) zlepšování postupů měření účinnosti opatření.

8 Zlepšování ISMS

8.1 Soustavné zlepšování

Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,

cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí, nápravných a preventivních

akcí a přezkoumání prováděných vedením organizace (viz kapitola 7).

8.2 Opatření k nápravě

Organizace musí provést příslušné činnosti pro odstranění nedostatků spojených

s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentované

postupy nápravných činností musí určit požadavky na:

a) identifikaci neshod v zavedení a/nebo provozu ISMS;

b) určení příčin neshod;

c) vyhodnocení potřeby opatření, kterým se zajistí, že se neshody znovu nevyskytnou;

d) určení a zavedení potřebných opatření k nápravě;

e) zaznamenání výsledků zavedených opatření (viz 4.3.3);

f) přezkoumání provedených nápravných opatření.

8.3 Preventivní opatření

Organizace musí určit opatření, která zabrání opakovanému výskytu neshod. Preventivní

opatření musí být přiměřená závažnosti možných problémů. Zdokumentovaný postup aplikace

preventivních činností musí definovat požadavky na:

a) identifikaci potenciálních neshod a jejich příčin;

b) vyhodnocení potřeby provedení činností k zamezení opětovnému výskytu neshod;

c) určení a zavedení potřebných preventivních opatření;

d) zaznamenání výsledků podniknutých opatření (viz 4.3.3);

e) přezkoumání provedených preventivních opatření;

Organizace musí identifikovat změny rizik a určit požadavky na nápravná opatření, zejména pak

u těch rizik jejichž změna byla významná.

Priorita preventivních opatření bude určena na základě výsledků hodnocení rizik.

POZNÁMKA

Opatření pro prevenci vzniku neshod jsou většinou finančně méně náročná než opatření

nápravná.

Příloha A

(normativní)

Cíle opatření a jednotlivá bezpečnostní opatření

Cíle opatření a jednotlivá bezpečnostní opatření v tabulce A.1 jsou přímo odvozeny a propojeny

s těmi, které jsou uvedeny v ISO/IEC 17799:2005 kapitola 5 až 15. Seznam opatření uvedených

v tabulce A.1 není vyčerpávající a organizace může považovat za potřebné přidat dodatečné

cíle opatření a jednotlivá opatření. Cíle opatření a jednotlivá opatření z těchto tabulek musí být

vybrány v rámci procesu zavádění ISMS, specifikovaném v kapitole 4.2.1.

ISO/IEC 17799:2005 kapitoly 5 až 15 poskytují doporučení a návod pro zavedení nejlepších

praktik pro podporu opatření uvedených v A.5 až A.15.

Tabulka A.1 – Cíle opatření a jednotlivá bezpečnostní opatření

A.5 Bezpečnostní politika

A.5.1 Bezpečnostní politika informací

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky

organice, příslušnými zákony a regulatorními požadavky.

A.5.1.1 Dokument bezpečnostní

politiky informací

A.5.1.2 Přezkoumání a

aktualizace bezpečnostní

politiky informací

Opatření

Dokument bezpečnostní politiky informací by měl být

schválen vedením organizace, vydán a být dán na

vědomí všem zaměstnancům a relevantním třetím

stranám.

Opatření

Pro zajištění její neustálé použitelnosti, přiměřenosti a

účinnosti by bezpečnostní politika informací měla být

přezkoumávána v plánovaných intervalech a vždy když

nastane významná změna.

A.6 Organizace bezpečnosti

A.6.1 Interní organizace

Cíl: Řídit bezpečnost informací v organizaci.

A.6.1.1 Závazek vedení Opatření

Vedení organizace by mělo stanovit jasný směr a

aktivně podporovat bezpečnost v rámci organizace.

Mělo by demonstrovat svůj závazek a jednoznačně

přiřadit a vymezit role v oblasti bezpečnosti informací.

A.6.1.2 Koordinace bezpečnosti

informací

A.6.1.3 Přidělení odpovědností

v oblasti bezpečnosti

informací

Opatření

Činnosti v oblasti bezpečnosti informací by měly být

koordinovány prostřednictvím zástupců různých útvarů

z celé organizace.

Opatření

Měly by být jednoznačně určeny odpovědnosti v oblasti

bezpečnosti informací.

A.6.1.4 Schvalovací proces zařízení

pro zpracování informací

A.6.1.5 Dohody o ochraně

důvěrných informací

A.6.1.6 Kontakt s orgány veřejné

správy

A.6.1.7 Kontakt se zájmovými

skupinami

A.6.1.8 Nezávislá přezkoumání

bezpečnosti informací

A.6.2 Externí subjekty

Opatření

Měl by být ustaven a zaveden postup schvalování

(vedoucími zaměstnanci) nových zařízení pro

zpracování informací.

Opatření

Měly by být určeny a v pravidelných intervalech

přezkoumávány dohody obsahující požadavky na

ochranu důvěrnosti nebo povinnost zachovávat

mlčenlivost, reflektující potřeby organizace na ochranu

informací.

Opatření

Měly by být udržovány přiměřené vztahy s orgány

veřejné správy.

Opatření

Měly by být udržovány přiměřené vztahy se zájmovými

skupinami nebo speciálními fóry na bezpečnost a

profesními sdruženími.

Opatření

Přístup organizace k řízení a implementaci bezpečnosti

informací (tj. cíle opatření, jednotlivá opatření, politiky,

směrnice a postupy) by měly být v pravidelných

intervalech (a nebo v případě jakékoliv významné

změny ve vztahu k bezpečnosti) nezávisle

přezkoumávány.

Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou přístupné,

zpracovávané, sdělované nebo spravované externími subjekty.

A.6.2.1 Identifikace rizik plynoucích

z přístupu externích subjektů

A.6.2.2 Bezpečnostní požadavky pro

přístup klientů

A.6.2.3 Bezpečnostní požadavky

v dohodách se třetí stranou

Opatření

Předtím, než je externím subjektům povolen přístup

k informacím organizace a zařízením pro zpracování

informací, by měla být identifikována rizika a

implementována vhodná opatření na jejich pokrytí.

Opatření

Předtím, než je klientům umožněn přístup k informací a

aktivům organizace by měly být zjištěny veškeré

požadavky na bezpečnost.

Opatření

Dohody, uzavřené s třetími stranami zahrnující přístup,

zpracování, šíření nebo správu informací organizace

nebo správu zařízení pro zpracování informací

(případně dodávku produktů nebo služeb k zařízení pro

zpracování informací), by měly pokrývat veškeré

relevantní bezpečnostní požadavky.

A.7 Klasifikace a řízení aktiv

A.7.1 Odpovědnost za aktiva

Cíl: Udržovat přiměřenou ochranu aktiv organizace.

A.7.1.1 Evidence aktiv Opatření

Měla by být identifikována všechna aktiva organizace,

všechna důležitá aktiva by měla být evidována a

seznam udržován aktuální.

A.7.1.2 Vlastnictví aktiv Opatření

Veškeré informace a aktiva související se zařízením pro

zpracování informací by měly mít určeného vlastníka7.

A.7.1.3 Přípustné použití aktiv Opatření

Měla by být ustavena, zdokumentována a do praxe

zavedena pravidla pro přípustné použití informací a

aktiv souvisejících se zařízením pro zpracování

informací.

A.7.2 Klasifikace informací

Cíl: Zajištění přiměřenosti ochrany informačních aktiv.

A.7.2.1 Doporučení pro klasifikaci Opatření

Informace by měly být klasifikovány a to ohledem na

jejich hodnotu, právní požadavky, citlivost a kritičnost.

A.7.2.2 Označování a nakládání

s informacemi

Opatření

Pro značení informací a zacházení s nimi by měly být

vytvořeny a do praxe zavedeny postupy, které jsou

v souladu s klasifikačním schématem přijatým organizací.

A.8 Bezpečnost lidských zdrojů

A.8.1 Před vznikem pracovního vztahu8

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro

jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití

prostředků organizace.

A.8.1.1 Role a odpovědnosti Opatření

Role a odpovědnosti zaměstnanců, smluvních a třetích

stran v oblasti bezpečnosti informací by měly být

stanoveny a zdokumentovány v souladu

s bezpečnostní politikou organizace.

A.8.1.2 Prověrka Opatření

Všichni uchazeči o zaměstnání, smluvní a třetí strany by

měly být prověřeni dle platných zákonů, předpisů a

v souladu s etikou. Prověření by měla být prováděna na

základě požadavků stanovených organizací, dále

s ohledem na klasifikaci informací, ke kterým by měli

získat přístup, ale také z hlediska jejich spolehlivosti9 a

potenciálních rizik.

7 Pojmem „vlastník“ je myšlen jedinec nebo entita, který má vedením organizace přidělenou odpovědnost za výrobu,

vývoj, údržbu, použití a bezpečnost aktiv. Pojmem „vlastník“ není myšleno skutečné vlastnictví aktiva.

8 Pracovním vztahem je myšleno: zaměstnání lidí (pracovní poměr na dobu určitou nebo neurčitou), přidělení pracovní

role, změna pracovní role, dohoda o pracovní činnosti, dohoda o provedení práce a nebo ukončení jakéhokoliv z těchto

vazeb.

9 V případech, které se týkají ochrany utajovaných skutečností, tj. v případech stanovených zákonem, musí mít

odpovídající prověrku.

A.8.1.3 Podmínky výkonu pracovní

činnosti

A.8.2 Během pracovního vztahu

Opatření

Pracovní smlouvy uzavřené se zaměstnanci, smluvními a

třetími stranami by měly obsahovat ustanovení o jejich

odpovědnostech za bezpečnost informací.

Cíl: Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů

s nimi spjatých, svých odpovědností a povinností a byli připraveni podílet se na dodržování politiky

bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.

A.8.2.1 Odpovědnosti vedoucích

zaměstnanců

A.8.2.2 Povědomí, vzdělávání a

školení v oblasti

bezpečnosti informací

Opatření

Vedoucí zaměstnanci by měly po uživatelích, smluvních

a třetích stranách, požadovat dodržování bezpečnosti

v souladu se zavedenými politikami a směrnicemi.

Opatření

Všichni zaměstnanci organizace, a je-li to důležité

i pracovníci smluvních a třetích stran, by měli s ohledem

na svoji pracovní náplň, projít odpovídajícím a

pravidelně se opakujícím školením v oblasti bezpečnosti

informací, bezpečnostní politiky a směrnicím

organizace.

A.8.2.3 Disciplinární řízení Opatření

Mělo by existovat formalizované disciplinární řízení vůči

zaměstnancům, kteří se dopustili narušení bezpečnosti.

A.8.3 Ukončení nebo změna pracovního vztahu

Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran

proběhla řádným způsobem.

A.8.3.1 Odpovědnosti za ukončení

pracovního vztahu

A.8.3.2 Navrácení zapůjčených

předmětů

Opatření

Měly by být jasně definovány a přiděleny odpovědnosti

pro případ ukončení nebo změny pracovního vztahu.

Opatření

Při ukončení pracovního vztahu by měli zaměstnanci,

pracovníci smluvních a třetích stran odevzdat veškeré

jim svěřené předměty, které jsou majetkem organizace.

A.8.3.3 Odebrání přístupových práv Opatření

Při ukončení pracovního vztahu by měla být uživatelům,

smluvním a třetím stranám odejmuta nebo pozměněna

přístupová práva k informacím a zařízení pro

zpracování informací.

A.9 Fyzická bezpečnost a bezpečnost prostředí

A.9.1 Zabezpečené oblasti

Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do

provozních budov a informací organizace.

A.9.1.1 Fyzický bezpečnostní

perimetr

Opatření

Při ochraně prostor ve kterých se nachází informace

nebo zařízení pro zpracování informací by měly být

používány bezpečnostní perimetry (bariéry jako například

zdi, vstupní turniket na karty nebo recepce).

A.9.1.2 Kontroly vstupu osob Opatření

Aby bylo zajištěno, že je přístup do zabezpečených

oblastí povolen pouze oprávněným osobám, měly by

být tyto oblasti chráněny vhodným systémem kontrol

vstupu.

A.9.1.3 Zabezpečení kanceláří,

místností a zařízení

A.9.1.4 Ochrana před hrozbami

vnějšího prostředí

A.9.1.5 Práce v zabezpečených

oblastech

A.9.1.6 Veřejný přístup, prostory pro

nakládku a vykládku

A.9.2 Bezpečnost zařízení

Opatření

Mělo by být navrženo a aplikováno fyzické zabezpečení

kanceláří, místností a zařízení.

Opatření

Na ochranu proti škodám způsobeným požárem,

povodní, zemětřesením, výbuchem, civilními nepokoji a

jinými přírodními nebo lidmi zapříčiněnými katastrofami

by měly být navrženy a aplikovány prvky fyzické

ochrany.

Opatření

Pro práci v zabezpečených oblastech by měly být

navrženy a aplikovány prvky fyzické ochrany.

Opatření

Prostory pro nakládku a vykládku a další místa, kudy se

mohou neoprávněné osoby dostat do prostor

organizace, by měla být kontrolována a pokud možno

by měla být izolována od zařízení pro zpracování

informací tak, aby se zabránilo neoprávněnému

přístupu.

Cíl: Předcházet ztrátě, poškození nebo kompromitaci aktiv a přerušení činnosti organizace.

A.9.2.1 Umístění zařízení a jeho

ochrana

Opatření

Zařízení by měla být umístěna a chráněna tak, aby se

snížila rizika hrozeb a nebezpečí daná prostředím a aby

se omezily příležitosti pro neoprávněný přístup.

A.9.2.2 Podpůrná zařízení Opatření

Zařízení by mělo být chráněno před selháním napájení

a před dalšími výpadky způsobenými selháním

podpůrných služeb.

A.9.2.3 Bezpečnost kabelových

rozvodů

Opatření

Silové a telekomunikační kabelové rozvody, které jsou

určeny pro přenos dat a podporu informačních služeb,

by měly být chráněny před poškozením či odposlechem.

A.9.2.4 Údržba zařízení Opatření

Zařízení by mělo být správně udržováno pro zajištění

jeho stálé dostupnosti a integrity.

A.9.2.5 Bezpečnost zařízení mimo

prostory organizace

A.9.2.6 Bezpečná likvidace nebo

opakované použití zařízení

Opatření

Zařízení používané mimo prostory organizace by mělo být

zabezpečeno s přihlédnutím k různým rizikům

vyplývajících z jejich použití mimo organizaci.

Opatření

Všechna zařízení obsahující paměťová média by měla

být kontrolována tak, aby bylo možné zajistit, že před

jejich likvidací nebo opakovaným použitím budou citlivá

data a licencované programové vybavení odstraněna

nebo přepsána.

A.9.2.7 Přemístění majetku Opatření

Zařízení, informace nebo programové vybavení by bez

schválení nemělo být přemisťováno.

A.10 Řízení komunikací a řízení provozu

A.10.1 Provozní postupy a odpovědnosti

Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací.

A.10.1.1 Dokumentace provozních

postupů

Opatření

Provozní postupy by měly být zdokumentovány

a udržovány a měly by být dostupné všem uživatelům dle

potřeby.

A.10.1.2 Řízení změn Opatření

Změny ve vybavení a zařízení pro zpracování informací

by měly být řízeny.

A.10.1.3 Oddělení povinností Opatření

Pro snížení příležitostí k neoprávněné modifikaci nebo

zneužití aktiv organizace by mělo být zváženo oddělení

jednotlivých povinností a odpovědností.

A.10.1.4 Oddělení vývoje, testování a

provozu

A.10.2 Řízení dodávek třetích stran

Opatření

Pro snížení rizika neoprávněného přístupu k provoznímu

systému a nebo jeho změn by mělo být zváženo oddělení

procesů vývoje, testování a provozu.

Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve shodě

s uzavřenými dohodami.

A.10.2.1 Dodávky služeb Opatření

Zajistit, aby úroveň služeb týkajících se bezpečnosti

informací poskytovaných třetí stranou byla v souladu se

smluvními podmínkami.

A.10.2.2 Monitorování a

přezkoumávání služeb

třetích stran

A.10.2.3 Řízení změn služeb

poskytovaných třetími

stranami

Opatření

Služby, zprávy a záznamy poskytované třetí stranou by

měly být monitorovány a pravidelně přezkoumávány,

audity by měly být opakovány v pravidelných

intervalech.

Opatření

Změny v poskytování služeb, včetně udržování a

zlepšování existujících bezpečnostních politik, směrnic

a bezpečnostních opatření, by měly být řízeny

s ohledem na kritičnost systémů a procesů organizace,

které jsou součástí opakovaného hodnocení rizik.

A.10.3 Plánování a přejímání informačních systémů

Cíl: Minimalizovat riziko selhání informačních systémů.

A.10.3.1 Řízení kapacit Opatření

Pro zajištění požadovaného výkonu informačního

systému, s ohledem na budoucí kapacitní požadavky,

by mělo být monitorováno, nastaveno a projektováno

využití zdrojů.

A.10.3.2 Přejímání systémů Opatření

Měla by být určena kritéria pro přejímání nových

informačních systémů, jejich aktualizaci a zavádění

nových verzí a vhodný způsob testování systému

v průběhu vývoje a před zavedením do ostrého provozu.

A.10.4 Ochrana proti škodlivým programům a mobilním kódům

Cíl: Chránit integritu programů a dat.

A.10.4.1 Opatření na ochranu proti

škodlivým programům

A.10.4.2 Opatření na ochranu proti

mobilním kódům

A.10.5 Zálohování

Opatření

Na ochranu proti škodlivým programům a nepovoleným

mobilním kódům by měla být implementována opatření

na jejich detekci, prevenci a nápravu a zvyšováno

odpovídající bezpečnostní povědomí uživatelů.

Opatření

Použití povolených mobilních kódů by mělo být

nastaveno v souladu s bezpečnostní politikou, mělo by

být zabráněno spuštění nepovolených mobilních kódů.

Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.

A.10.5.1 Zálohování informací Opatření

Záložní kopie důležitých informací a programového

vybavení organizace by měly být pořizovány a

testovány v pravidelných intervalech.

A.10.6 Správa sítě

Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.

A.10.6.1 Síťová opatření Opatření

Pro zajištění ochrany před možnými hrozbami, pro

zaručení bezpečnosti systémů a aplikací využívajících

sítí a pro zajištění bezpečnosti informací při přenosu by

počítačové sítě měly být vhodným způsobem

spravovány a kontrolovány.

A.10.6.2 Bezpečnost síťových služeb Opatření

Měly by být identifikovány a do dohod o poskytování

síťových služeb zahrnuty bezpečnostní prvky, úroveň

poskytovaných služeb a požadavky na správu všech

síťových služeb a to jak v případech, kdy jsou tyto

služby zajišťovány interně, tak i v případech, kdy jsou

zajišťovány cestou outsourcingu.

A.10.7 Bezpečnost při zacházení s médii

Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení činnosti

organizace.

A.10.7.1 Správa vyměnitelných

počítačových médií

Opatření

Měly by být vytvořeny postupy pro správu

vyměnitelných počítačových médií.

A.10.7.2 Likvidace médií Opatření

Jestliže jsou média dále provozně neupotřebitelná, měla

by být bezpečně a spolehlivě zlikvidována.

A.10.7.3 Postupy pro manipulaci

s informacemi

Opatření

Pro zabránění neautorizovanému přístupu nebo zneužití

informací by měla být stanovena pravidla pro manipulaci

s nimi a pro jejich ukládání.

A.10.7.4 Bezpečnost systémové

dokumentace

A.10.8 Výměny informací

Opatření

Systémová dokumentace by měla být chráněna proti

neoprávněnému přístupu.

Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich výměně

s externími subjekty.

A.10.8.1 Postupy při výměně

informací a programů

A.10.8.2 Dohody o výměně informací

a programů

A.10.8.3 Bezpečnost médií při

přepravě

Opatření

Měly by být ustaveny a do praxe zavedeny formální

postupy, politiky a opatření na ochranu informací při

jejich výměně pro všechny typy používaných

komunikačních zařízení.

Opatření

Výměna informací a programů by měla být založena na

dohodách uzavřených mezi organizací a externími

subjekty.

Opatření

Média obsahující informace by měla být během

přepravy mimo organizaci chráněna proti

neoprávněného přístupu, zneužití nebo narušení.

A.10.8.4 Elektronické zasílání zpráv Opatření

Elektronicky přenášené informace by měly být vhodným

způsobem chráněny.

A.10.8.5 Podnikové informační

systémy

A.10.9 Služby elektronického obchodu

Opatření

Na ochranu informací v propojených podnikových

informačních systémech by měla být vytvořena a do

praxe zavedena politika a odpovídající směrnice.

Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.

A.10.9.1 Elektronický obchod Opatření

Informace přenášené ve veřejných sítích v rámci

elektronického obchodování by měly být chráněny před

podvodnými aktivitami, před zpochybňováním smluv,

prozrazením či modifikací.

A.10.9.2 On-line transakce Opatření

Měla by být zajištěna ochrana informací přenášených

při on-line transakcích tak, aby byl zajištěn úplný přenos

informací a zamezilo se špatnému směrování,

neoprávněné změně zpráv, neoprávněnému prozrazení,

neoprávněné duplikaci nebo opakování zpráv.

A.10.9.3 Veřejně přístupné informace Opatření

Informace publikované na veřejně přístupných

systémech by měly být chráněny proti neoprávněné

modifikaci.

A.10.10 Monitorování

Cíl: Detekovat neoprávněné zpracování informací.

A.10.10.1 Zaznamenávání událostí Opatření

Auditní záznamy, obsahující chybová hlášení a jiné

bezpečnostně významné události, byměly být pořizovány

a uchovány po stanovené období tak, aby byly se daly

použít pro budoucí vyšetřování a pro účely monitorování

řízení přístupu.

A.10.10.2 Monitorování používání

systému

A.10.10.3 Ochrana vytvořených

záznamů

A.10.10.4 Administrátorský a

operátorský deník

Opatření

Měla by být stanovena pravidla pro monitorování použití

zařízení pro zpracování informací, výsledky těchto

monitorování by měly být pravidelně přezkoumávány.

Opatření

Zařízení pro zaznamenávání informací a vytvořené

záznamy by měly být vhodným způsobem chráněny

proti neoprávněnému přístupu a zfalšování.

Opatření

Aktivity správce systému a systémového operátora by

měly být zaznamenávány.

A.10.10.5 Záznam selhání Opatření

Měly by být zaznamenány a analyzovány chyby

a provedena opatření k nápravě.

A.10.10.6 Synchronizace času Opatření

Hodiny všech důležitých systémů pro zpracování

informací by měly být v rámci organizace nebo domény

synchronizovány se schváleným zdrojem přesného

času.

A.11 Řízení přístupu

A.11.1 Požadavky na řízení přístupu

Cíl: Řídit přístup k informacím.

A.11.1.1 Politika řízení přístupu Opatření

Měla by být vytvořena, dokumentována a v závislosti na

aktuálních bezpečnostních požadavcích

přezkoumávána politika řízení přístupu.

A.11.2 Řízení přístupu uživatelů

Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům.

A.11.2.1 Registrace uživatele Opatření

Měl by existovat postup pro formální registraci uživatele

včetně jejího zrušení, který zajistí autorizovaný přístup

ke všem víceuživatelským informačním systémům

a službám.

A.11.2.2 Řízení privilegovaného

přístupu

Opatření

Přidělování a používání privilegií by mělo být omezeno

a řízeno.

A.11.2.3 Správa uživatelských hesel Opatření

Přidělování hesel by mělo být řízeno formálním

procesem.

A.11.2.4 Přezkoumání přístupových

práv uživatelů

Opatření

Vedení organizace by mělo v pravidelných intervalech

provádět formální přezkoumání přístupových práv

uživatelů.

A.11.3 Odpovědnosti uživatelů

Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací a zařízení

pro zpracování informací.

A.11.3.1 Používání hesel Opatření

Při výběru a používání hesel by mělo být po uživatelích

požadováno, aby dodržovali stanovené bezpečnostní

postupy.

A.11.3.2 Neobsluhovaná uživatelská

zařízení

A.11.3.3 Zásada prázdného stolu

a prázdné obrazovky

monitoru

A.11.4 Řízení přístupu k síti

Opatření

Uživatelé by měli zajistit přiměřenou ochranu

neobsluhovaných zařízení.

Opatření

Měla by být přijata zásada prázdného stolu ve vztahu

k dokumentům a vyměnitelným médiím a zásada

prázdné obrazovky monitoru u zařízení pro zpracování

informací.

Cíl: Předcházet neautorizovanému přístupu k síťovým službám.

A.11.4.1 Politika užívání síťových

služeb

A.11.4.2 Autentizace uživatele

externího připojení

Opatření

Uživatelé by měli mít přímý přístup pouze k těm síťovým

službám, pro jejichž použití byli zvlášť oprávněni.

Opatření

Přístup vzdálených uživatelů měl být autentizován.

A.11.4.3 Identifikace zařízení v sítích Opatření

Pro autentizaci připojení z vybraných lokalit a přenosných

zařízení by se měla zvážit automatická identifikace

zařízení.

A.11.4.4 Ochrana portů pro vzdálenou

diagnostiku a konfiguraci

Opatření

Fyzický i logický přístup k diagnostickým a

konfiguračním portům by měl být bezpečně řízen.

A.11.4.5 Princip oddělení v sítích Opatření

Skupiny informačních služeb, uživatelů a informačních

systémů by měly být v sítích odděleny.

A.11.4.6 Řízení síťových spojení Opatření

U sdílených sítí, zejména těch, které přesahují hranice

organizace, by měly být omezeny možnosti připojení

uživatelů. Omezení by měla být v souladu s politikou

řízení přístupu a s požadavky aplikací (viz 11.1).

A.11.4.7 Řízení směrování sítě Opatření

Pro zajištění toho, aby počítačová spojení

a informační toky nenarušovaly politiku řízení

přístupu aplikací organizace, by mělo být zavedeno

řízení směrování sítě.

A.11.5 Řízení přístupu k operačnímu systému

Cíl: Předcházet neautorizovanému přístupu k operačním systémům.

A.11.5.1 Bezpečné postupy přihlášení Opatření

Přístup k operačnímu systému by měl být řízen postupy

bezpečného přihlášení.

A.11.5.2 Identifikace a autentizace

uživatelů

Opatření

Všichni uživatelé by měli mít pro výhradní osobní použití

jedinečný identifikátor (uživatelské ID), měl by být také

zvolen vhodný způsob autentizace k ověření jejich identity.

A.11.5.3 Systém správy hesel Opatření

Systém správy hesel by měl být interaktivní a měl by

zajišťovat použití kvalitních hesel.

A.11.5.4 Použití systémových nástrojů Opatření

Použití systémových nástrojů, které jsou schopné

překonat systémové nebo aplikační kontroly by mělo být

omezeno a přísně kontrolováno.

A.11.5.5 Časové omezení relace Opatření

Neaktivní relace by měly se po stanovené době

nečinnosti ukončit.

A.11.5.6 Časové omezení spojení Opatření

U vysoce rizikových aplikací by pro zajištění dodatečné

bezpečnosti mělo být zváženo použití omezení doby

spojení.

A.11.6 Řízení přístupu k aplikacím a informacím

Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.

A.11.6.1 Omezení přístupu

k informacím

Opatření

Uživatelé aplikačních systémů, včetně pracovníků

podpory, by měli mít přístup k informacím a funkcím

aplikačních systémů omezen v souladu s definovanou

politikou řízení přístupu.

A.11.6.2 Oddělení citlivých systémů Opatření

Citlivé aplikační systémy by měly mít oddělené (izolované)

počítačové prostředí.

A.11.7 Mobilní výpočetní zařízení a práce na dálku

Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro práci na

dálku.

A.11.7.1 Mobilní výpočetní zařízení a

sdělovací technika

Opatření

Měla by být ustavena formální pravidla a přijata opatření

na ochranu proti rizikům použití mobilních výpočetních a

komunikačních zařízení.

A.11.7.2 Práce na dálku Opatření

Organizace by měla vytvořit a do praxe zavést zásady,

operativní plány a postupy pro práci na dálku.

A.12 Nákup, vývoj a údržba informačního systému

A.12.1 Bezpečnostní požadavky systémů

Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.

A.12.1.1 Analýza a specifikace

bezpečnostních požadavků

Opatření

Požadavky organizace na nové informační systémy

nebo na rozšíření existujících systémů by měly

obsahovat také požadavky na bezpečnostní opatření. A.12.2 Správné zpracování v aplikacích

Cíl: Předcházet chybám, ztrátě, modifikaci nebo zneužití uživatelských dat v aplikacích.

A.12.2.1 Kontrola vstupních dat Opatření

Vstupní data aplikací by měla být kontrolována z hlediska

správnosti a adekvátnosti.

A.12.2.2 Kontrola vnitřního

zpracování

Opatření

Pro detekci jakéhokoliv poškození nebo modifikace

informací vzniklého chybami při zpracování nebo

úmyslnými zásahy, by mělo být zváženo začlenění

kontroly platnosti dat.

A.12.2.3 Integrita zprávy Opatření

U jednotlivých aplikací by měly být stanoveny

bezpečnostní požadavky na zajištění autentizace a

integrity zpráv, dle potřeby určena, a zavedena vhodná

opatření.

A.12.2.4 Kontrola výstupních dat Opatření

Pro zajištění toho, že zpracování uložených informací je

bezchybné a odpovídající dané situaci, by mělo být

provedeno ověření platnosti výstupních dat.

A.12.3 Kryptografická opatření

Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.

A.12.3.1 Politika pro použití

kryptografických opatření

Opatření

Měla by být vytvořena a zavedena pravidla pro používání

kryptografických opatření na ochranu informací.

A.12.3.2 Správa klíčů Opatření

Na podporu používání kryptografických technik

v organizaci by měl existovat systém jejich správy.

A.12.4 Bezpečnost systémových souborů

Cíl: Zajistit bezpečnost systémových souborů

A.12.4.1 Správa provozního

programového vybavení

A.12.4.2 Ochrana systémových

testovacích údajů

A.12.4.3 Řízení přístupu ke knihovně

zdrojových kódů

Opatření

Měly by být zavedeny postupy kontroly instalace

programového vybavení na provozních systémech.

Opatření

Testovací data by měla být pečlivě vybrána, chráněna

a kontrolována.

Opatření

Přístup ke knihovně zdrojových kódů by měl být

omezen.

A.12.5 Bezpečnost procesů vývoje a podpory

Cíl: Udržovat bezpečnost programů a informací aplikačních systémů.

A.12.5.1 Postupy řízení změn Opatření

Měly by být zavedeny formální postupy řízení změn.

A.12.5.2 Technické přezkoumání

aplikací po změnách

operačního systému

Opatření

V případě změny operačního systému by měly být

přezkoumány a otestovány kritické aplikace, aby bylo

zajištěno, že změny nemají nepříznivý dopad na provoz

nebo bezpečnost organizace. A.12.5.3 Omezení změn

programových balíků

Opatření

Modifikace programových balíků by měly být omezeny

pouze na nezbytné změny, veškeré prováděné změny

musí být řízeny.

A.12.5.4 Únik informací Opatření

Mělo by být zabráněno úniku informací.

A.12.5.5 Programové vybavení

vyvíjené externím

dodavatelem

A.12.6 Řízení technických zranitelností

Opatření

Vývoj programového vybavení externím dodavatelem

by měl být organizací dohlížen a monitorován.

Cíl: Snížit rizika vyplývající ze zneužití veřejně publikovaných technických zranitelností.

A.12.6.1 Řízení, správa a kontrola

technických zranitelností

Opatření

Mělo by být zajištěno včasné získání informace o

existenci technické zranitelnosti v provozovaném

informačním systému, vyhodnocena úroveň ohrožení

organizace vůči této zranitelnosti a přijata příslušná

opatření na pokrytí souvisejících rizik.

A.13 Zvládání bezpečnostních incidentů

A.13.1 Hlášení bezpečnostních událostí a slabin

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožní

včasné zahájení kroků vedoucích k nápravě.

A.13.1.1 Hlášení bezpečnostních

událostí

A.13.1.2 Hlášení bezpečnostních

slabin

Opatření

Bezpečnostní události by měly být hlášeny příslušnými

řídícími cestami tak rychle, jak je to jen možné.

Opatření

Všichni zaměstnanci, smluvní strany a další

nespecifikovaní uživatelé informačního systému a

služeb by měli být povinni zaznamenat a hlásit jakékoliv

bezpečnostní slabiny nebo podezření na bezpečnostní

slabiny v systémech nebo službách.

A.13.2 Zvládání bezpečnostních incidentů a kroky k nápravě

Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.

A.13.2.1 Odpovědnosti a postupy Opatření

Pro zajištění rychlé, účinné a systematické reakce na

bezpečnostní incidenty by měly být zavedeny

odpovědnosti a postupy pro zvládání bezpečnostních

incidentů.

A.13.2.2 Ponaučení z

bezpečnostních incidentů

Opatření

Měly by existovat mechanizmy, které by umožňovaly

kvantifikovat a monitorovat typy, rozsah a náklady

bezpečnostních incidentů.

A.13.2.3 Shromaždování důkazů Opatření

V případech, kdy vyústění bezpečnostního incidentu

směřuje k právnímu řízení (dle práva občanského nebo

trestního) vůči osobě a nebo organizaci, by měly být

sbírány, uchovávány a soudu předkládány důkazy

v souladu s pravidly příslušné jurisdikce, kde se bude

případ projednávat.

 A.14 Řízení kontinuity činností organizace

A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací

Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažných

selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.

A.14.1.1 Zahrnutí bezpečnosti

informací do procesu řízení

kontinuity činností

organizace

A.14.1.2 Kontinuita činností

organizace a hodnocení rizik

A.14.1.3 Vytváření a implementace

plánů kontinuity

A.14.1.4 Systém plánování kontinuity

činností organizace

A.14.1.5 Testování, udržování

a přezkoumání plánů

kontinuity

Opatření

V rámci organizace by měl existovat řízený proces pro

rozvoj a udržování kontinuity činností organizace.

Opatření

Měly by být identifikovány možné příčiny přerušení

činností organizace, včetně jejich pravděpodobnosti,

velikosti dopadu a možných následků na bezpečnost

informací.

Opatření

Pro udržení nebo obnovení provozních činností

organizace po přerušení nebo selhání kritických

procesů a pro zajištění dostupnosti informací

v požadovaném čase a na požadovanou úroveň by

měly být vytvořeny plány.

Opatření

Pro zajištění konzistentnosti plánů a pro určení priorit

testování a údržby by měl být k dispozici jednotný

systém plánů kontinuity činností organizace.

Opatření

Plány kontinuity činností by měly být pravidelně

testovány a aktualizovány, aby se zajistila jejich

aktuálnost a efektivnost.

A.15 Soulad s požadavky

A.15.1 Soulad s právními normami

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvních

povinností a bezpečnostních požadavků.

A.15.1.1 Určení relevantní legislativy Opatření

Pro každý informační systém by měly být jednoznačně

definovány, zdokumentovány a udržovány aktuální

veškeré relevantní zákonné, podzákonné a smluvní

požadavky a způsob jakým je organizace dodržuje.

A.15.1.2 Zákony na ochranu

duševního vlastnictví

A.15.1.3 Ochrana záznamů

organizace

A.15.1.4 Ochrana osobních údajů a

soukromí

Opatření

Pro zajištění souladu se zákonnými, podzákonnými a

smluvními požadavky na použití materiálů a aplikačního

programového vybavení, které mohou být chráněny

zákony na ochranu duševního vlastnictví by měly být

zavedeny vhodné postupy.

Opatření

Důležité záznamy organizace by měly být chráněny

proti ztrátě, zničení a padělání a to v souladu se

zákonnými, podzákonnými a smluvními požadavky a

požadavky organizace.

Opatření

Ochrana osobních údajů a soukromí by měla být

zajištěna v souladu s odpovídající legislativou, předpisy,

a pokud je to relevantní, se smlouvami. A.15.1.5 Prevence zneužití zařízení

pro zpracování informací

A.15.1.6 Regulace kryptografických

opatření

Opatření

Mělo by být zakázáno používat zařízení pro zpracování

informací jiným než autorizovaným způsobem.

Opatření

Kryptografická opatření by měla být používána

v souladu s příslušnými úmluvami, zákony a předpisy.

A.15.2 Soulad s bezpečnostními politikami, normami a technická shoda

Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.

A.15.2.1 Shoda s bezpečnostními

politikami a normami

Opatření

Vedoucí zaměstnanci by měli zajistit, aby všechny

bezpečnostní postupy v rozsahu jejich odpovědnosti byly

prováděny správně, v souladu s bezpečnostními

politikami a normami.

A.15.2.2 Kontrola technické shody Opatření

Informační systémy by měly být pravidelně

kontrolovány, zda jsou v souladu s bezpečnostními

politikami a standardy.

A.15.3 Hlediska auditu informačních systémů

Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do informačních systémů.

A.15.3.1 Opatření k auditu

informačních systémů

A.15.3.2 Ochrana nástrojů pro audit

informačních systémů

Opatření

Požadavky auditu a činnosti zahrnující kontrolu

provozních systémů by měly být pečlivě naplánovány

a schváleny, aby se minimalizovalo riziko narušení

činností organizace.

Opatření

Přístup k nástrojům určeným pro audit informačních

systémů by měl být chráněn, aby se předešlo jejich

možnému zneužití nebo ohrožení.

Příloha B

(informativní)

Principy směrnice OECD a normy BS ISO/IEC 27001

Principy dané směrnicí OECD pro bezpečnost informačních systémů a sítí se vztahují jak na

úroveň politik, tak na provozní úroveň, která řídí bezpečnost informačních systémů a sítí.

Tato norma poskytuje rámec systému řízení bezpečnosti informací pro zavedení některých

z principů OECD využitím modelu PDCA a procesů popsaných v odstavcích 4, 5, 6, 7 a 8, tak

jak naznačuje tabulka B.1.

Tabulka B.1 – principy OECD a model PDCA

Principy OECD Odpovídající procesu ISMS a fázi PDCA

Informovanost

Účastníci by měli být informováni o potřebě

bezpečnosti informačních systémů a sítí, a o tom,

co mohou udělat ke zvýšení bezpečnosti.

Odpovědnost

Všichni účastníci jsou odpovědní za bezpečnost

informačních systémů a sítí.

Reakce

Účastníci by měli jednat včas a vzájemně

spolupracovat při předcházení bezpečnostním

incidentům, při reakci a jejich odhalování.

Hodnocení rizik

Účastníci by měli provádět hodnocení rizik.

Návrh a implementace bezpečnosti

Účastníci by měli bezpečnost zahrnout mezi

základní prvky informačních systémů a sítí.

Řízení bezpečnosti

Účastníci by měli přijmout komplexní přístup k

řízení bezpečnosti.

Opětovné hodnocení

Účastníci by měli přezkoumávat a opětovně

hodnotit bezpečnost informačních systémů a sítí a

provádět příslušné úpravy bezpečnostní politiky,

praxe, opatření a postupů.

Tato činnost je součástí fáze Dělej (viz 4.2.2

a 5.2.2).

Tato činnost je součástí fáze Dělej (viz 4.2.2 a

5.1).

Toto je část monitorovací fáze Kontroluj (viz 4.2.3

a 6 až 7.3) a činnosti reakční fáze Jednej (viz 4.2.4

a 8.1 to 8.3). Součástí mohou být některé aspekty

fází Plánuj a Kontroluj.

Tato činnost je součástí fáze Plánuj (viz 4.2.1) a

opětovné hodnocení rizik je část fáze Kontroluj

(viz 4.2.3 a 6.1 až 6.4).

Jakmile je dokončeno hodnocení rizika, vyberou se

opatření pro zvládání rizik jako součást fáze

Plánuj (viz 4.2.1). Fáze Dělej (viz 4.2.2 a 5.2)

potom pokrývá implementaci a provozní využití

těchto opatření.

Řízení rizik je proces, který zahrnuje prevenci,

detekci a reakci na incidenty, probíhající údržbu,

přezkoumání a audit. Všechny tyto aspekty jsou

zahrnuty ve fázích Plánuj, Dělej, Kontroluj a

Jednej.

Opětovné hodnocení bezpečnosti informací je část

fáze Kontroluj (viz 4.2.3 a 6 až 7.3), kde by měla

být prováděna pravidelná přezkoumání za účelem

kontroly efektivnosti systému řízení bezpečnosti

informací a zlepšování bezpečnosti jako součást

fáze Jednej (viz 4.2.4 a 8.1 až 8.3).

Příloha C

(informativní)

Vztah mezi ISO 9001:2000, ISO 14001:2004 a ISO 27001:2005

Tabulka C.1 ukazuje vztah mezi ISO 9001:2000, ISO 14001:2004 a ISO 27001:2005

Tabulka C.1 - vztah mezi ISO 9001:2000, ISO 14001:2004 a ISO 27001:2005

ISO 27001:2005 ISO 9001:2000 ISO 14001:2004

0 Úvod

1.1 Všeobecně

1.2 Procesní přístup

1.3 Kompatibilita s jinými

systémy řízení

1 Působnost

1.1 Všeobecně

1.2 Použití

0 Úvod

1.1 Všeobecně

1.2 Procesní přístup

1.3 Vztah k ISO 9004

1.4 Kompatibilita s jinými

systémy managementu

1 Předmět normy

1.1 Všeobecně

1.2 Aplikace

0 Úvod

1 Předmět normy

2 Normativní odkazy 2 Normativní odkazy 2 Normativní odkazy

3 Termíny a definice 3 Termíny a definice 3 Definice

4 Systém řízení bezpečnosti

informací

4.1 Všeobecné požadavky

4.2. Ustavení a řízení ISMS

4.2.1 Ustavení ISMS

4.2.2 Zavádění a provozování

ISMS

4.2.3 Monitorování a

přezkoumání ISMS

4.2.4 Udržování a zlepšování

ISMS

4.3. Požadavky na dokumentaci

4.3.1 Všeobecně

4.3.2 Řízení dokumentů

4.3.3 Řízení záznamů

4 Systém managementu

jakosti

4.1 Všeobecné požadavky

8.2.3 Monitorování a měření

procesů

8.2.4 Monitorování a měření

produktu

4.2 Požadavky na dokumentaci

4.2.1 Všeobecně

4.2.2 Příručka jakosti

4.2.3 Řízení dokumentů

4.2.4 Řízení záznamů

4 Požadavky na systém

environmentálního

managementu

4.1 Všeobecné požadavky

4.4 Zavedení a provoz

4.5.1 Monitorování a měření

4.4.5 Řízení dokumentů

4.5.4 Záznamy

ISO 27001:2005 ISO 9001:2000 ISO 14001:2004

5. Odpovědnost vedení

5.1 Závazek vedení

5.2 Řízení zdrojů

5.2.1 Zajištění zdrojů

5.2.2 Školení, vědomí závažnosti

a odborná způsobilost

5 Odpovědnost managementu

5.1 Osobní angažovanost a

aktivita managementu

5.2 Zaměření na zákazníka

5.3 Politika jakosti

5.4 Plánování

5.5 Odpovědnost, pravomoc a

komunikace

6 Management zdrojů

6.1 Poskytování zdrojů

6.2 Lidské zdroje

6.2.2 Odborná způsobilost,

vědomí závažnosti a výcvik

6.3 Infrastruktura

6.4 Pracovní prostředí

4.2 Environmentální politika

4.3 Plánování

4.4.2 Výcvik, povědomí a

odborná způsobilost

6 Interní audity ISMS 8.2.2 Interní audit 4.5.4 Audit systému

environmentálního

managementu

7. Přezkoumání ISMS vedením

organizace

7.1 Všeobecně

7.2 Vstup pro přezkoumání

7.3 Výstup z přezkoumání

5.6 Přezkoumání systému

managementu

5.6.1 Všeobecně

5.6.2 Vstup pro přezkoumání

5.6.3 Výstup z přezkoumání

4.6 Přezkoumání vedením

organizace

8 Zlepšování ISMS

8.1 Soustavné zlepšování

8.2 Opatření k nápravě

8.3 Preventivní opatření

Příloha A Cíle opatření a

jednotlivá bezpečnostní

opatření

Příloha B Principy směrnice

OECD a normy BS ISO/IEC

27001

Příloha C Vztah mezi ISO

9001:2000, ISO 14001:2004 a

ISO 27001:2005

8 Měření analýza a zlepšování

8.5.1 Neustálé zlepšování

8.5.2 Opatření k nápravě

8.5.3 Preventivní opatření

Příloha A Soulad mezi ISO

9001:2000 a 14001:1996

4.5.2 Neshoda, nápravná a

preventivní opatření

Příloha A Návod k použití

normy

Příloha B Souvislosti mezi ISO

14001:2004 a 9001:2000