Národní předmluva
Změny proti předchozí normě
Název normy byl změněn.
Byla změněna struktura normy, opatření jsou prezentována pomocí jednoduché
taxonomie a souvisejících
atributů. Některá opatření byla sloučena, některá opatření byla odstraněna
a bylo zavedeno několik nových opatření. Úplná korespondence je
uvedena v příloze B.
Souvisící ČSN
ČSN EN ISO 9000 (01 0300) Systémy
managementu kvality – Základní principy a slovník
ČSN ISO 55001 (01 0376) Management
aktiv – Systémy managementu – Požadavky
ČSN EN ISO/IEC 15408 (soubor)
(36 9789) Informační technologie – Bezpečnostní techniky –
Kritéria pro hodnocení bezpečnosti IT
ČSN ISO 15489-1 (97 1500) Informace a dokumentace –
Správa dokumentů – Část 1: Pojmy a principy
ČSN ISO/IEC 17788 (36 9865) Informační
technologie – Cloud computing – Přehled a slovník
ČSN ISO/IEC 17789 (36 9866) Informační
technologie – Cloud computing – Referenční architektura
ČSN ISO/IEC 19086 (soubor) (36 9867) Informační
technologie – Cloud computing – Rámec dohody o úrovni služeb
(SLA)
ČSN ISO/IEC 19770-1 (36 9043) Informační
technologie – Správa aktiv IT – Část 1: Systémy správy aktiv IT –
Požadavky
ČSN ISO/IEC 20889 (36 9039) Terminologie
a klasifikace technik odstranění identifikace dat zvyšujících soukromí
ČSN ISO 21500 (01 0345) Management
projektů, programů a portfolií – Kontext a koncepce
ČSN ISO 21502 (01 0346) Management
projektů, programů a portfolií – Návod k managementu projektu
ČSN EN ISO 22301 (01 2306) Bezpečnost
a odolnost – Systémy managementu kontinuity podnikání –
Požadavky
ČSN EN ISO 22313 (01 2316) Bezpečnost
a odolnost – Systémy managementu kontinuity podnikání – Pokyny
pro používání ISO 22301
ČSN EN ISO/IEC 24760 (soubor)
(36 9716) Bezpečnost IT a soukromí – Rámec pro řízení
identit
ČSN EN ISO/IEC 27001:2014 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN EN ISO/IEC 27007
(36 9790) Bezpečnost informací, kybernetická bezpečnost
a ochrana soukromí – Směrnice pro audit systémů řízení
bezpečnosti informací
ČSN EN ISO/IEC 27011
(36 9710) Informační technologie – Bezpečnostní techniky –
Soubor postupů pro opatření bezpečnosti informací pro telekomunikační
organizace založený na ISO/IEC 27002
ČSN EN ISO/IEC 27017
(36 9710) Informační technologie – Bezpečnostní techniky –
Soubor postupů pro opatření bezpečnosti informací pro cloudové služby
založený na ISO/IEC 27002
ČSN EN ISO/IEC 27018 (36 9709) Informační
technologie – Bezpečnostní techniky – Soubor postupů na ochranu
osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících
jako zpracovatelé PII
ČSN EN ISO/IEC 27019
(36 9719) Informační technologie – Bezpečnostní techniky –
Opatření bezpečnosti infor-
mací pro energetický průmysl
ČSN ISO/IEC 27031 (36 9801) Informační
technologie – Bezpečnostní techniky – Směrnice pro připravenost
informačních a komunikačních technologií pro kontinuitu činnosti
organizace
ČSN ISO/IEC 27033 (soubor) (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě
ČSN ISO/IEC 27034-1 (36 9703) Informační
technologie – Bezpečnostní techniky – Bezpečnost aplikací –
Část 1: Přehled a pojmy
ČSN ISO/IEC 27035-1 (36 9799) Informační
technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací –
Část 1: Principy řízení incidentů
ČSN ISO/IEC 27035-2 (36 9799) Informační
technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti
informací – Část 2: Směrnice pro plánování a přípravu odezvy na
incidenty
ČSN EN ISO/IEC 27037
(36 9846) Informační technologie – Bezpečnostní techniky –
Směrnice pro identifikaci, sběr, získávání a uchovávání digitálních důkazů
ČSN EN ISO/IEC 27040 (36 9849) Informační
technologie – Bezpečnostní techniky – Zabezpečení úložišť dat
ČSN P ISO/IEC TS 27110 (36 9773) Bezpečnost
informací, kybernetická bezpečnost a ochrana soukromí – Směrnice pro
vývoj rámce kybernetické bezpečnosti
ČSN EN ISO/IEC 27701
(36 9770) Bezpečnostní techniky – Rozšíření ISO/IEC 27001
a ISO/IEC 27002 pro řízení ochrany soukromí – Požadavky a směrnice
ČSN EN ISO 27799
(98 2021) Zdravotnická informatika – Systémy řízení bezpečnosti
informací ve zdravotnictví využívající ISO/IEC 27002
ČSN EN ISO/IEC 29100 (36 9705) Informační
technologie – Bezpečnostní techniky – Rámec soukromí
ČSN EN ISO/IEC 29134 (36 9712) Informační
technologie – Bezpečnostní techniky – Směrnice pro posuzování dopadu
na soukromí
ČSN EN ISO/IEC 29147 (36 9713) Informační
technologie – Bezpečnostní techniky – Odhalování zranitelností
ČSN EN ISO/IEC 30111 (36 9706) Informační
technologie – Bezpečnostní techniky – Postupy zacházení se
zranitelnostmi
ČSN ISO 31000:2018 (01 0351) Management
rizik – Směrnice
ČSN EN IEC 31010 ed. 2 (01 0352) Management
rizik – Techniky posuzování rizik
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článku „Souvisící ČSN“ nejnovějšími vydáními, platnými
v době schválení této normy. Při používání této normy je třeba vždy použít
taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vysvětlivky k textu převzaté normy
Pro účely této normy je překlad anglického termínu
„management“ ponechán v původním tvaru, s ohledem na kontext, v jakém
je v textu normy použit.
Upozornění na národní poznámky
Do článků 5.19 a 5.22 a do tabulky A.1 byly
doplněny vysvětlující národní poznámky.
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5
odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na
výrobky a o změně a doplnění některých zákonů, ve znění pozdějších
předpisů.
EVROPSKÁ NORMA EN ISO/IEC 27002
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM Listopad 2022
ICS 35.030 Nahrazuje
EN ISO/IEC 27002:2017
Informační bezpečnost, kybernetická bezpečnost a ochrana
soukromí –
Opatření informační bezpečnosti
(ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection –
Information security controls
(ISO/IEC 27002:2022)
|
Sécurité de l’information,
cybersécurité et protection de la vie privée – Moyens de maîtrise de l’information
(ISO/IEC 27002:2022)
|
Informationssicherheit, Cybersicherheit und Schutz
der Privatsphäre – Informationssicherheitsmaßnahmen
(ISO/IEC 27002:2022)
|
Tato evropská norma byla schválena CEN dne 2022-10-30.
Členové CEN a CENELEC jsou povinni splnit vnitřní
předpisy CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se této
evropské normě bez jakýchkoliv modifikací uděluje status národní normy.
Aktualizované seznamy a bibliografické citace týkající se těchto národních
norem lze obdržet na vyžádání v Řídicím centru
CEN-CENELEC nebo u kteréhokoliv člena CEN a CENELEC.
Tato evropská norma existuje ve třech oficiálních verzích
(anglické, francouzské, německé). Verze v každém
jiném jazyce přeložená členem CEN a CENELEC do jeho vlastního jazyka, za
kterou zodpovídá a kterou notifikuje Řídicímu centru CEN-CENELEC, má
stejný status jako oficiální verze.
Členy CEN a CENELEC jsou národní normalizační orgány a národní
elektrotechnické komise Belgie, Bulharska, České republiky, Dánska, Estonska,
Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska,
Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska,
Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka,
Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska, Švýcarska
a Turecka.
|
 
Řídicí centrum
CEN-CENELEC
Rue de la Science 23, B-1040 Brusel
©
2022 CEN/CENELEC Veškerá práva pro využití v jakékoliv formě Ref.
č. EN ISO/IEC 27002:2022 E
a jakýmikoliv prostředky jsou celosvětově vyhrazena
národním členům CEN a členům CENELEC.
|
Text ISO/IEC 27002:2022 vypracovala technická komise
ISO/IEC JTC 1 Informační technologie Mezinárodní
organizace pro normalizaci (ISO) a byl
převzat jako EN ISO/IEC 27002:2022 technickou komisí
CEN-CENELEC/JTC 13 Kybernetická bezpečnost a ochrana dat,
jejímž sekretariátem je DIN.
Této evropské normě je nutno nejpozději do května 2023
udělit status národní normy, a to buď vydáním identického textu, nebo
schválením k přímému používání, a národní normy, které jsou s ní
v rozporu, je nutno zrušit nejpozději do května 2023.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv.
CEN-CENELEC nelze činit odpovědným za identifikaci jakéhokoliv nebo všech
patentových práv.
Tento dokument nahrazuje EN ISO/IEC 27002:2017.
Jakákoli zpětná vazba a otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na webových stránkách CEN a CENELEC.
Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou
normu povinny zavést národní normalizační organizace následujících zemí:
Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie,
Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska,
Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království,
Srbska, Španělska, Švédska, Švýcarska a Turecka.
Oznámení o schválení
Text ISO/IEC 27002:2022 byl schválen CEN-CENELEC jako
EN ISO/IEC 27002:2022 bez jakýchkoliv modifikací.
Obsah
Strana
Evropská
předmluva.................................................................................................................................................................................... 6
Předmluva................................................................................................................................................................................................... 10
Úvod............................................................................................................................................................................................................. 11
1......... Předmět normy.............................................................................................................................................................................. 13
2......... Citované dokumenty..................................................................................................................................................................... 13
3......... Termíny, definice a zkrácené termíny....................................................................................................................................... 13
3.1...... Termíny a definice........................................................................................................................................................................ 13
3.2...... Zkrácené termíny........................................................................................................................................................................... 17
4......... Struktura tohoto dokumentu........................................................................................................................................................ 18
4.1...... Kapitoly............................................................................................................................................................................................ 18
4.2...... Témata a atributy........................................................................................................................................................................... 19
4.3...... Uspořádání opatření..................................................................................................................................................................... 20
5......... Organizační opatření.................................................................................................................................................................... 20
5.1...... Politiky pro informační bezpečnost............................................................................................................................................ 20
5.2...... Role a odpovědnosti v oblasti
informační bezpečnosti......................................................................................................... 22
5.3...... Oddělení povinností...................................................................................................................................................................... 22
5.4...... Odpovědnosti vedení.................................................................................................................................................................... 23
5.5...... Kontakt s autoritami...................................................................................................................................................................... 24
5.6...... Kontakt se zvláštními zájmovými skupinami........................................................................................................................... 24
5.7...... Zpravodajství o hrozbách............................................................................................................................................................. 25
5.8...... Informační bezpečnost v řízení projektů................................................................................................................................... 26
5.9...... Evidence informací a dalších souvisejících
aktiv.................................................................................................................... 27
5.10.... Přípustné používání informací a dalších
souvisejících aktiv................................................................................................. 29
5.11.... Vrácení aktiv................................................................................................................................................................................... 29
5.12.... Klasifikace informací.................................................................................................................................................................... 30
5.13.... Označování informací.................................................................................................................................................................. 31
5.14.... Předávání informací..................................................................................................................................................................... 32
5.15.... Řízení přístupu............................................................................................................................................................................... 34
5.16.... Management identit...................................................................................................................................................................... 36
5.17.... Autentizační informace................................................................................................................................................................ 37
5.18.... Přístupová práva............................................................................................................................................................................ 38
5.19.... Informační bezpečnost ve vztazích
s dodavateli..................................................................................................................... 39
5.20.... Řešení informační bezpečnosti v dohodách
s dodavateli..................................................................................................... 41
5.21.... Management informační bezpečnosti
v dodavatelském řetězci ICT.................................................................................. 43
5.22.... Monitorování, přezkoumávání a management
změn dodavatelských služeb.................................................................. 44
5.23.... Informační bezpečnost při používání cloudových
služeb...................................................................................................... 46
5.24.... Plánování a příprava managementu
incidentů informační bezpečnosti........................................................................... 47
5.25.... Posuzování a rozhodování
o událostech informační bezpečnosti...................................................................................... 49
5.26.... Odezva na incidenty informační bezpečnosti.......................................................................................................................... 49
5.27.... Poučení se z incidentů informační
bezpečnosti...................................................................................................................... 50
5.28.... Shromažďování důkazů............................................................................................................................................................... 51
5.29.... Informační bezpečnost během narušení.................................................................................................................................. 51
Strana
5.30.... Připravenost ICT na zajištění kontinuity
činnosti organizace................................................................................................ 52
5.31.... Zákonné, statutární, regulatorní
a smluvní požadavky........................................................................................................... 53
5.32.... Práva duševního vlastnictví......................................................................................................................................................... 54
5.33.... Ochrana záznamů......................................................................................................................................................................... 55
5.34.... Soukromí a ochrana PII................................................................................................................................................................ 56
5.35.... Nezávislé přezkoumání informační bezpečnosti.................................................................................................................... 57
5.36.... Dodržování politik, pravidel a norem pro
informační bezpečnost....................................................................................... 58
5.37.... Dokumentované provozní postupy............................................................................................................................................ 59
6......... Opatření v oblasti lidských zdrojů............................................................................................................................................... 60
6.1...... Prověřování.................................................................................................................................................................................... 60
6.2...... Podmínky pracovního poměru................................................................................................................................................... 61
6.3...... Povědomí, vzdělávání a školení
o informační bezpečnosti.................................................................................................. 62
6.4...... Disciplinární řízení......................................................................................................................................................................... 63
6.5...... Odpovědnosti po ukončení nebo změně
pracovního poměru............................................................................................. 64
6.6...... Dohody o důvěrnosti nebo mlčenlivosti.................................................................................................................................... 64
6.7...... Práce na dálku............................................................................................................................................................................... 65
6.8...... Podávání zpráv o událostech informační
bezpečnosti.......................................................................................................... 67
7......... Opatření fyzické bezpečnosti...................................................................................................................................................... 68
7.1...... Perimetry fyzické bezpečnosti.................................................................................................................................................... 68
7.2...... Fyzický vstup.................................................................................................................................................................................. 68
7.3...... Zabezpečení kanceláří, místností
a vybavení.......................................................................................................................... 70
7.4...... Monitorování fyzické bezpečnosti.............................................................................................................................................. 70
7.5...... Ochrana před fyzickými a přírodními
hrozbami...................................................................................................................... 71
7.6...... Práce v zabezpečených oblastech............................................................................................................................................ 72
7.7...... Prázdný stůl a prázdná obrazovka............................................................................................................................................. 73
7.8...... Umístění a ochrana zařízení....................................................................................................................................................... 73
7.9...... Bezpečnost aktiv mimo prostory organizace........................................................................................................................... 74
7.10.... Paměťová média.......................................................................................................................................................................... 75
7.11.... Podpůrné služby............................................................................................................................................................................ 76
7.12.... Bezpečnost kabelových rozvodů................................................................................................................................................ 77
7.13.... Údržba zařízení.............................................................................................................................................................................. 78
7.14.... Bezpečná likvidace nebo opakované použití
zařízení........................................................................................................... 78
8......... Technologická opatření................................................................................................................................................................ 79
8.1...... Koncová zařízení uživatele.......................................................................................................................................................... 79
8.2...... Privilegovaná přístupová práva.................................................................................................................................................. 81
8.3...... Omezení přístupu k informacím................................................................................................................................................. 82
8.4...... Přístup ke zdrojovému kódu........................................................................................................................................................ 84
8.5...... Bezpečná autentizace.................................................................................................................................................................. 85
8.6...... Management kapacit.................................................................................................................................................................... 86
8.7...... Ochrana před škodlivým softwarem.......................................................................................................................................... 87
8.8...... Management technických zranitelností..................................................................................................................................... 88
8.9...... Management konfigurací............................................................................................................................................................. 91
8.10.... Vymazání informací...................................................................................................................................................................... 92
Strana
8.11.... Maskování dat................................................................................................................................................................................ 93
8.12.... Prevence úniku dat....................................................................................................................................................................... 95
8.13.... Zálohování informací.................................................................................................................................................................... 96
8.14.... Redundance vybavení pro zpracování informací................................................................................................................... 97
8.15.... Zaznamenávání formou logů..................................................................................................................................................... 98
8.16.... Monitorovací činnosti.................................................................................................................................................................. 100
8.17.... Synchronizace hodin.................................................................................................................................................................. 102
8.18.... Používání privilegovaných obslužných programů................................................................................................................ 102
8.19.... Instalace softwaru na provozních systémech........................................................................................................................ 103
8.20.... Bezpečnost sítí............................................................................................................................................................................. 104
8.21.... Bezpečnost síťových služeb..................................................................................................................................................... 105
8.22.... Oddělení sítí................................................................................................................................................................................. 106
8.23.... Filtrování webových stránek...................................................................................................................................................... 107
8.24.... Používání kryptografie............................................................................................................................................................... 107
8.25.... Životní cyklus bezpečného vývoje........................................................................................................................................... 109
8.26.... Požadavky na bezpečnost aplikací......................................................................................................................................... 110
8.27.... Principy architektury a inženýrství
bezpečných systémů.................................................................................................... 111
8.28.... Bezpečné programování........................................................................................................................................................... 113
8.29.... Testování bezpečnosti při vývoji
a akceptaci......................................................................................................................... 115
8.30.... Vývoj zajišťovaný externími zdroji........................................................................................................................................... 116
8.31.... Oddělení prostředí vývoje, testování
a produkce.................................................................................................................. 117
8.32.... Management změn.................................................................................................................................................................... 118
8.33.... Informace pro testování............................................................................................................................................................. 119
8.34.... Ochrana informačních systémů během auditního
testování.............................................................................................. 120
Příloha A (informativní) Používání atributů......................................................................................................................................... 121
Příloha B (informativní) Korespondence
ISO/IEC 27002:2022 (tento dokument) s ISO/IEC 27002:2013............................ 130
Bibliografie................................................................................................................................................................................................ 137
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2022
Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo
jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez
předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže
uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CP
401 · Ch. de Blandonnet 8
CH-1214
Vernier, Geneva
Tel.:
+ 41 22 749 01 11
E-mail:
copyright@iso.org
Web: www.iso.org
Publikováno
ve Švýcarsku
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž
ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě
tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve
směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným
schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl
vypracován v souladu s redakčními pravidly uvedenými ve směrnicích
ISO/IEC, část 2 (viz www.iso.org/directives
nebo www.iec.ch/members_experts/refdocs).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv
patentových právech identifikovaných během
přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových
prohlášení obdržených ISO (viz www.iso.org/patents)
nebo v seznamu patentových prohlášení obdr-
žených IEC (viz patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru
technických norem, významu specifických
termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.
V IEC viz
www.iec.ch/understanding-standards.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 Informační bezpečnost,
kybernetická bezpečnost a ochrana soukromí.
Toto třetí vydání zrušuje a nahrazuje druhé vydání
(ISO/IEC 27002:2013), které bylo technicky zrevidováno. To zahrnuje také
technické opravy ISO/IEC 27002:2013/Cor. 1:2014 a ISO/IEC 27002:2013/Cor. 2:2015.
Hlavní změny jsou:
– název byl změněn;
– struktura dokumentu byla změněna, opatření jsou
prezentována pomocí jednoduché taxonomie a souvisejících atributů;
– některá opatření
byla sloučena, některá odstraněna a bylo zavedeno několik nových opatření.
Úplnou korespondenci lze nalézt v příloze B.
Jakákoli zpětná vazba nebo otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na www.iso.org/members.html
a www.iec.ch/national-committees.
0.1 Pozadí a kontext
Tento dokument je určen
pro organizace všech typů a velikostí. Slouží jako reference pro určení
a zavedení opatření pro ošetření rizik informační bezpečnosti v systému
managementu informační bezpečnosti (ISMS) založeném na ISO/IEC 27001. Může
být také použit jako pokyny pro organizace, které stanovují a zavádějí
obecně uznávaná opatření informační bezpečnosti. Kromě toho je tento dokument
určen k použití při vytváření směrnic pro mana-
gement informační bezpečnosti specifických pro dané odvětví a organizaci,
přičemž se zohlední jejich specifické prostředí (specifická prostředí) pro
management rizik informační bezpečnosti. Jiná opatření specifická pro
organizaci nebo prostředí než ta, která jsou obsažena v tomto dokumentu,
mohou být podle potřeby stanovena na základě posouzení rizik.
Organizace všech typů
a velikostí (včetně veřejného a soukromého sektoru, komerčních
a neziskových organizací) vytvářejí, shromažďují, zpracovávají,
ukládají, přenášejí a likvidují informace v mnoha formách, včetně
elektronických, fyzických a verbálních (např. rozhovory a prezentace).
Hodnota informací přesahuje psaná slova, čísla a obrázky:
znalosti, koncepty, nápady a značky jsou příklady nehmotných forem
informací. V propojeném světě si informace a další související aktiva
zaslouží nebo vyžadují ochranu před různými zdroji rizik, ať už přírodními,
náhodnými nebo úmyslnými.
Informační bezpečnosti je dosaženo zavedením vhodného
souboru opatření, včetně politik, pravidel, procesů, postupů, organizačních
struktur a funkcí softwaru a hardwaru. Aby organizace splnila své
specifické cíle bezpečnosti a činnosti, má tato opatření definovat,
zavést, monitorovat, přezkoumávat a v případě potřeby zlepšovat.
Systém ISMS, jako je systém specifikovaný v ISO/IEC 27001, zaujímá
holistický, koordinovaný pohled na rizika informační bezpečnosti organizace s cílem
určit a zavést komplexní soubor opatření informační bezpečnosti v celkovém
rámci koherentního systému managementu.
Mnoho informačních systémů, včetně jejich managementu a provozu,
nebylo navrženo tak, aby byly bezpečné z hlediska ISMS, jak je
specifikováno v ISO/IEC 27001 a v tomto dokumentu. Úroveň
bezpečnosti, které je možné dosáhnout pouze
technologickými opatřeními, je omezená a má být podpořena vhodnými
řídicími činnostmi a orga-
nizačními procesy. Určení, která opatření mají být zavedena, vyžaduje pečlivé
plánování a pozornost věnovanou detailům při ošetření rizik.
Úspěšný ISMS vyžaduje podporu všech pracovníků organizace.
Může také vyžadovat účast dalších zainteresovaných stran, jako jsou akcionáři
nebo dodavatelé. Může být také zapotřebí poradenství od odborníků na danou
problematiku.
Vhodný, přiměřený
a efektivní systém managementu informační bezpečnosti poskytuje vedení
organizace a dalším zainteresovaným stranám záruku, že jejich
informace a další související aktiva jsou přiměřeně zabezpečeny a chráněny
před hrozbami a škodami, což organizaci umožňuje dosáhnout stanovených
cílů vyplývajících z činnosti organizace.
0.2 Požadavky informační bezpečnosti
Je nezbytné, aby organizace stanovila své požadavky na
informační bezpečnost. Existují tři hlavní zdroje požadavků na informační
bezpečnost:
a) posouzení rizik organizace s přihlédnutím
k celkové strategii a cílům organizace vyplývajících z činnosti
organizace. To je možné usnadnit nebo
podpořit prostřednictvím posouzení rizik specifických pro informační
bezpečnost. Výsledkem má být
stanovení opatření nezbytných k zajištění toho, aby zbytkové riziko pro
organizaci splňovalo její kritéria přijatelnosti rizik;
b) zákonné, statutární, regulatorní a smluvní
požadavky, které musí organizace a její zainteresované strany (obchodní
partneři, poskytovatelé služeb atd.) splňovat, a jejich sociokulturní
prostředí;
c) soubor zásad, cílů a požadavků
vyplývajících z činnosti organizace pro všechny kroky životního cyklu
informací, které organizace vytvořila pro podporu svého provozu.
0.3 Opatření
Opatření je definováno jako kroky, které modifikují nebo
zachovávají riziko. Některá opatření v tomto dokumentu jsou opatření,
která riziko modifikují, zatímco jiná riziko zachovávají. Například politika
informační bezpečnosti může riziko pouze
zachovávat, zatímco dodržování politiky informační bezpečnosti může riziko
modifikovat. Některá opatření navíc popisují stejné obecné opatření v různých
kontextech rizika. Tento dokument poskytuje obecnou směsici organizačních,
personálních, fyzických a technologických opatření informační bezpečnosti
odvozených z mezinárodně uznávaných osvědčených postupů.
0.4 Stanovení
opatření
Stanovení opatření závisí na rozhodnutích organizace po
posouzení rizik s jasně definovaným rozsahem. Rozhodnutí týkající se
identifikovaných rizik mají vycházet z kritérií pro přijatelnost rizika,
možností ošetření rizika a přístupu k managementu rizik uplatňovaného
organizací. Stanovení opatření má rovněž zohlednit všechny
relevantní národní a mezinárodní právní předpisy a nařízení.
Stanovení opatření závisí také na způsobu, jakým se opatření vzájemně
ovlivňují, aby poskytovaly hloubkovou ochranu.
Organizace může navrhnout opatření podle potřeby nebo je
identifikovat z libovolného zdroje. Při specifikaci
takových opatření má organizace zvážit
zdroje a investice potřebné k zavedení a provozování opatření
v porovnání s realizovanou hodnotou ve vztahu k činnosti
organizace. Viz ISO/IEC TR 27016 pro pokyny k rozhodování
o investicích do ISMS a ekonomické důsledky těchto rozhodnutí s ohledem
na konkurenční požadavky na zdroje.
Má existovat rovnováha
mezi prostředky vynaloženými na zavedení opatření a potenciálním dopadem
na činnosti organizace v důsledku bezpečnostních incidentů při
absenci těchto opatření. Výsledky posouzení rizik mají pomoci směrovat a určit vhodné kroky vedení, priority pro
management rizik informační bezpečnosti a pro zavedení opatření určených jako
nezbytné k ochraně před těmito riziky.
Některá z opatření v tomto dokumentu mohou být
považována za hlavní zásady pro management informační bezpečnosti a za
použitelné pro většinu organizací. Více informací o určování opatření a dalších
možnostech ošetření rizik lze nalézt v ISO/IEC 27005.
0.5 Vypracování směrnic specifických pro organizaci
Tento dokument může být považován za výchozí bod pro
vypracování směrnic specifických pro danou organizaci. Ne všechna opatření a pokyny uvedené v tomto dokumentu mohou
být použitelné pro všechny organizace. K řešení specifických potřeb
organizace a identifikovaných rizik mohou být zapotřebí i další
opatření a směrnice, které nejsou
v tomto dokumentu zahrnuty. Pokud jsou vypracovány dokumenty obsahující
další směrnice nebo opatření, může být pro budoucí použití užitečné
zahrnout křížové odkazy na články v tomto dokumentu.
0.6 Zohlednění životního cyklu
Informace má svůj životní
cyklus, od vytvoření až po likvidaci. Hodnota informací a rizika pro ně se
mohou v průběhu tohoto životního cyklu měnit (např. neoprávněné
vyzrazení nebo odcizení finančních účtů společnosti není po jejich zveřejnění
významné, ale integrita zůstává kritická), proto zůstává informační bezpečnost
do určité míry důležitá ve všech fázích.
Informační systémy a další aktiva související s informační
bezpečností mají životní cykly, v jejichž rámci jsou koncipovány, specifikovány, navrhovány, vyvíjeny,
testovány, zaváděny, používány, udržovány a nakonec vyřazovány z provozu
a likvidovány. Informační bezpečnost má být zohledněna v každé fázi.
Projekty vývoje nových systémů a změny stávajících systémů poskytují
příležitosti ke zlepšení opatření bezpečnosti a zároveň zohledňují rizika
organizace a zkušenosti získané z incidentů.
0.7 Související mezinárodní normy
Zatímco tento dokument nabízí pokyny k široké škále
opatření informační bezpečnosti, které se běžně používají v mnoha různých
organizacích, další dokumenty z řady ISO/IEC 27000 poskytují
doplňující rady nebo požadavky týkající se dalších aspektů celkového procesu
managementu informační bezpečnosti.
Obecný úvod k ISMS
a řadě dokumentů naleznete v ISO/IEC 27000. ISO/IEC 27000
obsahuje slovník, který definuje většinu termínů používaných v celé
řadě dokumentů ISO/IEC 27000, a popisuje rozsah a cíle každého
člena této řady.
Existují normy specifické pro odvětví, které obsahují další
opatření zaměřené na konkrétní oblasti (např. ISO/IEC 27017 pro cloudové
služby, ISO/IEC 27701 pro ochranu soukromí, ISO/IEC 27019 pro
energetiku, ISO/IEC 27011 pro telekomunikační organizace a ISO 27799
pro zdravotnictví). Tyto normy jsou zahrnuty v bibliografii a na
některé z nich se odkazuje v oddílech s pokyny a dalšími
informacemi v kapitolách 5 až 8.
Tento dokument poskytuje referenční soubor obecných opatření
informační bezpečnosti včetně pokynů k implementaci. Tento dokument je
určen k použití organizacemi:
a) v rámci systému
managementu informační bezpečnosti (ISMS) založeném na ISO/IEC 27001;
b)
pro zavádění opatření informační bezpečnosti založených na mezinárodně uznávaných osvědčených postupech;
c) pro vypracování
směrnic pro management informační bezpečnosti specifických pro organizaci.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA