Národní předmluva
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena
v ČSN EN ISO/IEC 27000 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
Souvisící ČSN
ČSN EN ISO/IEC 27001 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN EN ISO/IEC 27002:2014 (36 9798) Informační
technologie – Bezpečnostní techniky – Soubor postupů pro opatření
bezpečnosti informací
ČSN EN ISO/IEC 27011:2020 (36 9710) Informační
technologie – Bezpečnostní techniky – Soubor postupů pro opatření
bezpečnosti informací pro telekomunikační organizace založený na
ISO/IEC 27002
ČSN ISO 37001:2017 (01 0392) Systémy
protikorupčního managementu – Požadavky s návodem pro použití
ČSN ISO/IEC 38500:2020 (36 9045) Informační
technologie – Správa a řízení IT technologií v organizaci
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5
odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na
výrobky a o změně a doplnění některých zákonů, ve znění pozdějších
předpisů.
MEZINÁRODNÍ
NORMA
Bezpečnost informací,
kybernetická bezpečnost a ochrana ISO/IEC 27014
soukromí – Správa a řízení bezpečnosti informací Druhé vydání
2020-12
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované
dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Zkrácené termíny............................................................................................................................................................................. 8
5......... Použití
a struktura tohoto dokumentu.......................................................................................................................................... 8
6......... Normy
v oblasti správy a řízení..................................................................................................................................................... 8
6.1...... Přehled.............................................................................................................................................................................................. 8
6.2...... Činnosti správy
a řízení v rozsahu ISMS..................................................................................................................................... 8
6.3...... Další souvisící
normy...................................................................................................................................................................... 9
6.4...... Vlákno správy
a řízení v organizaci.............................................................................................................................................. 9
7......... Správa
a řízení entity a správa a řízení bezpečnosti informací.............................................................................................. 9
7.1...... Přehled.............................................................................................................................................................................................. 9
7.2...... Cíle................................................................................................................................................................................................... 10
7.2.1... Cíl 1: Ustanovit
integrovanou komplexní bezpečnost informací pro celou entitu............................................................. 10
7.2.2... Cíl 2: Rozhodovat
pomocí přístupu založeného na riziku..................................................................................................... 10
7.2.3... Cíl 3: Nastavit
směr akvizice....................................................................................................................................................... 10
7.2.4... Cíl 4: Zajistit
soulad s interními a externími požadavky......................................................................................................... 10
7.2.5... Cíl 5: Podporovat
kulturu pozitivního vztahu k bezpečnosti.................................................................................................. 10
7.2.6... Cíl 6: Zajistit,
aby výkonnost bezpečnosti splňovala současné a budoucí požadavky entity.......................................... 11
7.3...... Procesy............................................................................................................................................................................................ 11
7.3.1... Obecně............................................................................................................................................................................................ 11
7.3.2... Hodnocení...................................................................................................................................................................................... 12
7.3.3... Směřování...................................................................................................................................................................................... 12
7.3.4... Monitorování................................................................................................................................................................................... 12
7.3.5... Komunikace................................................................................................................................................................................... 13
8......... Požadavky orgánu
správy a řízení na ISMS............................................................................................................................. 13
8.1...... Organizace
a ISMS....................................................................................................................................................................... 13
8.2...... Scénáře (viz
příloha B)................................................................................................................................................................. 14
Příloha A (informativní)
Vztahy správy a řízení.................................................................................................................................... 15
Příloha B (informativní)
Typy organizace ISMS................................................................................................................................... 16
Příloha C (informativní)
Příklady komunikace..................................................................................................................................... 17
Bibliografie.................................................................................................................................................................................................. 18
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2020
Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo
jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez
předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže
uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CP
401 · Ch. de Blandonnet 8
CH-1214
Vernier, Geneva
Tel.:
+ 41 22 749 01 11
E-mail:
copyright@iso.org
Web: www.iso.org
Publikováno
ve Švýcarsku
|
ISO (Mezinárodní organizace pro normalizaci) je celosvětová
federace národních normalizačních orgánů (členů ISO). Mezinárodní normy obvykle vypracovávají technické komise ISO.
Každý člen ISO, který se zajímá o předmět, pro který byla vytvořena
technická komise, má právo být v této technické komisi zastoupen. Práce se
zúčastňují také vládní i nevládní
mezinárodní organizace, s nimiž ISO navázala pracovní styk. ISO úzce
spolupracuje s Mezi-
národní elektrotechnickou komisí (IEC) ve všech záležitostech normalizace
v elektrotechnice.
Postupy použité při
tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou
popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost
rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento
dokument byl vypracován v souladu s redakčními pravidly uvedenými ve
směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO nelze činit odpovědnou za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti
o jakýchkoliv patentových právech identifikovaných během přípravy tohoto
dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových
prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu
specifických termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou
uvedeny na www.iso.org/iso/foreword.html.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 Bezpečnost informací,
kybernetická bezpečnost a ochrana soukromí, ve spolupráci
s ITU-T.
Jakákoli zpětná vazba nebo otázky
týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu
uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.
Toto druhé vydání
zrušuje a nahrazuje první vydání (ISO/IEC 27014:2013), které bylo
technicky zrevidováno. Hlavní změny oproti předchozímu vydání jsou:
– dokument byl
uveden do souladu s ISO/IEC 27001:2013;
– byly vysvětleny
požadavky ISO/IEC 27001, které představují činnosti v oblasti správy
a řízení;
– byly popsány
cíle a procesy správy a řízení bezpečnosti informací.
Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu
mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam
těchto orgánů lze nalézt na adrese www.iso.org/members.html.
Bezpečnost informací je pro organizace klíčovou záležitostí,
kterou umocňuje rychlý pokrok v metodikách a technologiích útoků
a odpovídající zvýšené regulatorní tlaky.
Selhání opatření organizace v oblasti bezpečnosti
informací může mít mnoho nepříznivých dopadů na organizaci a její
zainteresované strany, mimo jiné včetně narušení důvěry.
Správa a řízení bezpečnosti informací představuje
využití zdrojů k zajištění efektivní implementace bezpečnosti informací
a poskytuje záruku, že:
– budou dodržovány
směrnice týkající se bezpečnosti informací; a
– orgán správy
a řízení obdrží spolehlivé a relevantní zprávy o činnostech
souvisících s bezpečností informací.
To pomáhá orgánu správy
a řízení činit rozhodnutí týkající se strategických cílů organizace
poskytováním informací o bezpečnosti informací, které mohou tyto
cíle ovlivnit. Správa a řízení bezpečnosti informací rovněž zajišťují, že
je strategie bezpečnosti informací v souladu s celkovými cíli entity.
Manažeři a další pracující v organizacích
potřebují rozumět:
– požadavkům na
správu a řízení, které ovlivňují jejich práci; a
– jak splnit
požadavky na správu a řízení, které po nich vyžadují, aby jednali.
Tento dokument poskytuje pokyny
ke koncepcím, cílům a procesům pro správu a řízení bezpečnosti
informací, pomocí kterých mohou organizace hodnotit, směřovat, monitorovat
a komunikovat procesy souvisící s bezpečností informací v rámci
organizace.
Cílovou skupinu tohoto dokumentu
představují:
–
orgán správy a řízení a vrcholový management;
–
osoby odpovědné za hodnocení, směřování a monitorování systému
řízení bezpečnosti informací (ISMS) zalo-
ženého na ISO/IEC 27001;
–
osoby odpovědné za řízení bezpečnosti
informací, které probíhá mimo rámec ISMS založeného na ISO/IEC 27001, ale
v rámci správy a řízení.
Tento dokument je použitelný pro
všechny typy a velikosti organizací.
Všechny odkazy na ISMS
v tomto dokumentu platí pro ISMS na základě ISO/IEC 27001.
Tento dokument se zaměřuje na
tři typy organizací ISMS uvedené v příloze B. Tento dokument však může být
používán i v případě jiných typů organizací.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA