Národní předmluva
Změny proti předchozí normě
Hlavní část této normy byla upravena v souladu s ISO/IEC 27001:2013.
Příloha A byla zcela přepracována tak, aby byla v souladu s ISO/IEC 27001:2013.
Informace o citovaných dokumentech
ISO 19011:2011 zavedena v ČSN EN ISO 19011:2012 (01 0330)
Směrnice pro auditování systémů manage-
mentu
ISO/IEC 27000:2016 zavedena v ČSN EN ISO/IEC 27000:2017 (36 9790)
Informační technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
ISO/IEC 27001:2013 zavedena v ČSN EN ISO/IEC 27001:2014 (36 9797)
Informační technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Požadavky
Souvisící ČSN
ČSN ISO 31000:2010 (01 0351) Management
rizik – Principy a směrnice
ČSN EN ISO/IEC 17021-1:2016 (01 5257) Posuzování
shody – Požadavky na orgány poskytující služby auditů a certifikace
systémů managementu – Část 1: Požadavky
ČSN EN ISO/IEC 17024 (01 5258) Posuzování
shody – Všeobecné požadavky na orgány pro certifikaci osob
ČSN EN ISO/IEC 27002 (36 9798) Informační
technologie – Bezpečnostní techniky – Soubor postupů pro opatření
bezpečnosti informací
ČSN ISO/IEC 27003:2018 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Pokyny
ČSN ISO/IEC 27004 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení bezpečnosti informací –
Monitorování, měření, analýza a hodnocení
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
ČSN ISO/IEC 27006:2016 (36 9790) Informační
technologie – Bezpečnostní techniky – Požadavky na orgány provádějící
audit a certifikaci systémů řízení bezpečnosti informací
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizací zřízená Úřadem pro technickou normalizaci, metrologii a státní
zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb.,
o technických požadavcích na výrobky a o změně a doplnění
některých zákonů, ve znění pozdějších předpisů.
MEZINÁRODNÍ
NORMA
Informační technologie –
Bezpečnostní techniky – ISO/IEC 27007
Směrnice pro audit systémů řízení bezpečnosti informací Druhé vydání
2017-10
ICS 03.100.70; 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované
dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Principy
auditování.......................................................................................................................................................................... 7
5......... Řízení programu
auditů.................................................................................................................................................................. 7
5.1...... Obecně.............................................................................................................................................................................................. 7
5.1.1... IS 5.1 Obecně................................................................................................................................................................................... 7
5.2...... Stanovení cílů
programu auditů.................................................................................................................................................... 7
5.2.1... IS 5.2 Stanovení
cílů programu auditů........................................................................................................................................ 7
5.3...... Stanovení
programu auditů........................................................................................................................................................... 8
5.3.1... Role a odpovědnosti
osob řídících program auditů.................................................................................................................. 8
5.3.2... Kompetence osob
řídících program auditů................................................................................................................................ 8
5.3.3... Stanovení rozsahu
programu auditů........................................................................................................................................... 8
5.3.4... Identifikace
a hodnocení rizik programu auditů........................................................................................................................ 8
5.3.5... Stanovení postupů
pro program auditů....................................................................................................................................... 9
5.3.6... Identifikace
zdrojů programu auditů............................................................................................................................................ 9
5.4...... Realizace
programu auditů........................................................................................................................................................... 9
5.4.1... Obecně.............................................................................................................................................................................................. 9
5.4.2... Stanovení cílů,
předmětu a kritérií jednotlivého auditu............................................................................................................ 9
5.4.3... Výběr metod auditu....................................................................................................................................................................... 10
5.4.4... Výběr členů týmu
auditorů........................................................................................................................................................... 10
5.4.5... Přidělování
odpovědností za jednotlivý audit vedoucímu týmu auditorů........................................................................... 10
5.4.6... Řízení výsledků
programu auditů............................................................................................................................................... 10
5.4.7... Řízení a udržování
záznamů o programu auditů.................................................................................................................... 10
5.5...... Monitorování
programu auditů................................................................................................................................................... 10
5.6...... Přezkoumávání
a zlepšování programu auditů...................................................................................................................... 10
6......... Provádění auditu........................................................................................................................................................................... 10
6.1...... Obecně............................................................................................................................................................................................ 10
6.2...... Zahájení auditu.............................................................................................................................................................................. 10
6.2.1... Obecně............................................................................................................................................................................................ 10
6.2.2... Úvodní kontakt
s auditovanou organizací................................................................................................................................. 10
6.2.3... Určení
proveditelnosti auditu...................................................................................................................................................... 10
6.3...... Příprava činností
při auditu.......................................................................................................................................................... 11
Strana
6.3.1... Přezkoumání
dokumentů při přípravě auditu.......................................................................................................................... 11
6.3.2... Příprava plánu
auditu................................................................................................................................................................... 11
6.3.3... Přidělování práce
týmu auditorů................................................................................................................................................ 11
6.3.4... Příprava
pracovních dokumentů................................................................................................................................................ 11
6.4...... Provádění
činností při auditu....................................................................................................................................................... 11
6.4.1... Obecně............................................................................................................................................................................................ 11
6.4.2... Úvodní jednání............................................................................................................................................................................... 11
6.4.3... Přezkoumání
dokumentů v průběhu auditu............................................................................................................................. 11
6.4.4... Komunikace v průběhu
auditu.................................................................................................................................................... 12
6.4.5... Přidělování rolí
a odpovědností průvodcům a pozorovatelům............................................................................................. 12
6.4.6... Shromažďování
a ověřování informací..................................................................................................................................... 12
6.4.7... Zjištění z auditu.............................................................................................................................................................................. 12
6.4.8... Příprava závěrů
z auditu.............................................................................................................................................................. 12
6.4.9... Závěrečné jednání........................................................................................................................................................................ 12
6.5...... Příprava a distribuce
zprávy z auditu......................................................................................................................................... 12
6.5.1... Příprava zprávy
z auditu............................................................................................................................................................... 12
6.5.2... Distribuce zprávy
z auditu............................................................................................................................................................ 12
6.6...... Ukončení auditu............................................................................................................................................................................. 12
6.7...... Provádění
následného auditu..................................................................................................................................................... 13
7......... Kompetence
a hodnocení auditorů........................................................................................................................................... 13
7.1...... Obecně............................................................................................................................................................................................ 13
7.2...... Určování
kompetencí auditorů ke splnění potřeb programu auditů.................................................................................... 13
7.2.1... Obecně............................................................................................................................................................................................ 13
7.2.2... Osobní chování.............................................................................................................................................................................. 13
7.2.3... Znalosti a dovednosti.................................................................................................................................................................... 13
7.2.4... Získávání
kompetencí auditora................................................................................................................................................... 13
7.2.5... Vedoucí týmu
auditorů................................................................................................................................................................. 14
7.3...... Stanovování
kritérií hodnocení auditorů................................................................................................................................... 14
7.4...... Výběr vhodných
metod hodnocení............................................................................................................................................ 14
7.5...... Provádění
hodnocení auditora................................................................................................................................................... 14
7.6...... Udržování a zlepšování
kompetencí auditora......................................................................................................................... 14
Příloha A (informativní)
Pokyny pro auditorskou praxi ISMS............................................................................................................ 15
Bibliografie.................................................................................................................................................................................................. 41
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2017, Published in Switzerland
Veškerá
práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této
publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv
způsobem, elektronickým nebo mechanickým, včetně pořizování fotokopií nebo
zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení.
O písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo
členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CH.
de Blandonnet 8 · CP 401
CH-1214
Vernier, Geneva, Switzerland
Tel.
+ 41 22 749 01 11
Fax
+ 41 22 749 09 47
copyright@iso.org
www.iso.org
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí
na vypracování mezinárodních norem prostřednictvím svých technických
komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC
spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní
mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.
V oblasti informační technologie zřídily ISO a IEC společnou
technickou komisi ISO/IEC JTC 1.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC,
část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím
potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu
s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz
www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto
dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit
odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv.
Podrobnosti o jakýchkoliv patentových
právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu
a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí
jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu
specifických termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou
uvedeny na tomto odkazu URL:
www.iso.org/iso/foreword.html.
Tento dokument vypracovala
společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 IT Bezpečnostní techniky.
Toto druhé vydání
zrušuje a nahrazuje první vydání (ISO/IEC 27007:2011), jehož je
technickou revizí.
Hlavní změny oproti předchozímu vydání jsou následující:
– příloha A byla
zcela přepracována tak, aby byla v souladu s ISO/IEC 27001:2013;
– hlavní část
tohoto dokumentu byla upravena tak, aby byla v souladu s ISO/IEC 27001:2013.
Tento dokument poskytuje pokyny pro:
a) řízení
programu auditu systému řízení bezpečnosti informací (ISMS);
b) provádění
interních a externích auditů ISMS v souladu s ISO/IEC 27001;
c) kompetence
a hodnocení auditorů ISMS.
Tento dokument by měl být používán ve spojení s pokyny
obsaženými v ISO 19011:2011.
Tento dokument odpovídá struktuře ISO 19011:2011. Další
pokyny specifické pro ISMS týkající se aplikace ISO 19011:2011 pro audity
ISMS jsou označeny písmeny „IS“.
ISO 19011:2011
poskytuje pokyny týkající se řízení auditních programů, provádění interních
nebo externích auditů systémů řízení, jakož i kompetencí a hodnocení
auditorů systémů řízení.
POZNÁMKA Pro akreditovanou certifikaci jsou požadavky na
auditora uvedeny v ISO/IEC 27006.
Tento dokument nestanovuje požadavky a je určen všem
uživatelům, včetně malých a středních organizací.
Tento dokument poskytuje
pokyny týkající se řízení programu auditu systému řízení bezpečnosti informací
(ISMS), provádění auditů a kompetence auditorů ISMS, nad rámec
pokynů obsažených v ISO 19011:2011.
Tento dokument je použitelný pro ty, kdo potřebují porozumět
interním nebo externím auditům ISMS nebo potřebují tyto audity provádět nebo
řídit programy auditu ISMS.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA