ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                      Duben 2023

Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí –
Opatření informační bezpečnosti

ČSN
EN ISO/IEC 27002

36 9798

idt ISO/IEC 27002:2022

Information security, cybersecurity and privacy protection – Information security controls

Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information

Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen

Tato norma je českou verzí evropské normy EN ISO/IEC 27002:2022. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the European Standard EN ISO/IEC 27002:2022. It was translated by the Czech Standardization Agency. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN EN ISO/IEC 27002 (36 9798) ze září 2014.

 


Národní předmluva

Změny proti předchozí normě

Název normy byl změněn. Byla změněna struktura normy, opatření jsou prezentována pomocí jednoduché taxonomie a souvisejících atributů. Některá opatření byla sloučena, některá opatření byla odstraněna a bylo zavedeno několik nových opatření. Úplná korespondence je uvedena v příloze B.

Souvisící ČSN

ČSN EN ISO 9000 (01 0300) Systémy managementu kvality – Základní principy a slovník

ČSN ISO 55001 (01 0376) Management aktiv – Systémy managementu – Požadavky

ČSN EN ISO/IEC 15408 (soubor) (36 9789) Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT

ČSN ISO 15489-1 (97 1500) Informace a dokumentace – Správa dokumentů – Část 1: Pojmy a principy

ČSN ISO/IEC 17788 (36 9865) Informační technologie – Cloud computing – Přehled a slovník

ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura

ČSN ISO/IEC 19086 (soubor) (36 9867) Informační technologie – Cloud computing – Rámec dohody o úrovni služeb (SLA)

ČSN ISO/IEC 19770-1 (36 9043) Informační technologie – Správa aktiv IT – Část 1: Systémy správy aktiv IT – Požadavky

ČSN ISO/IEC 20889 (36 9039) Terminologie a klasifikace technik odstranění identifikace dat zvyšujících soukromí

ČSN ISO 21500 (01 0345) Management projektů, programů a portfolií – Kontext a koncepce

ČSN ISO 21502 (01 0346) Management projektů, programů a portfolií – Návod k managementu projektu

ČSN EN ISO 22301 (01 2306) Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky

ČSN EN ISO 22313 (01 2316) Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Pokyny pro používání ISO 22301

ČSN EN ISO/IEC 24760 (soubor) (36 9716) Bezpečnost IT a soukromí – Rámec pro řízení identit

ČSN EN ISO/IEC 27001:2014 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN EN ISO/IEC 27007 (36 9790) Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Směrnice pro audit systémů řízení bezpečnosti informací

ČSN EN ISO/IEC 27011 (36 9710) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro telekomunikační organizace založený na ISO/IEC 27002

ČSN EN ISO/IEC 27017 (36 9710) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002

ČSN EN ISO/IEC 27018 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

ČSN EN ISO/IEC 27019 (36 9719) Informační technologie – Bezpečnostní techniky – Opatření bezpečnosti infor-
mací pro energetický průmysl

ČSN ISO/IEC 27031 (36 9801) Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace

ČSN ISO/IEC 27033 (soubor) (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě

ČSN ISO/IEC 27034-1 (36 9703) Informační technologie – Bezpečnostní techniky – Bezpečnost aplikací – Část 1: Přehled a pojmy

ČSN ISO/IEC 27035-1 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů

ČSN ISO/IEC 27035-2 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 2: Směrnice pro plánování a přípravu odezvy na incidenty

ČSN EN ISO/IEC 27037 (36 9846) Informační technologie – Bezpečnostní techniky – Směrnice pro identifikaci, sběr, získávání a uchovávání digitálních důkazů

ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat

ČSN P ISO/IEC TS 27110 (36 9773) Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Směrnice pro vývoj rámce kybernetické bezpečnosti

ČSN EN ISO/IEC 27701 (36 9770) Bezpečnostní techniky – Rozšíření ISO/IEC 27001 a ISO/IEC 27002 pro řízení ochrany soukromí – Požadavky a směrnice

ČSN EN ISO 27799 (98 2021) Zdravotnická informatika – Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002

ČSN EN ISO/IEC 29100 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí

ČSN EN ISO/IEC 29134 (36 9712) Informační technologie – Bezpečnostní techniky – Směrnice pro posuzování dopadu na soukromí

ČSN EN ISO/IEC 29147 (36 9713) Informační technologie – Bezpečnostní techniky – Odhalování zranitelností

ČSN EN ISO/IEC 30111 (36 9706) Informační technologie – Bezpečnostní techniky – Postupy zacházení se zranitelnostmi

ČSN ISO 31000:2018 (01 0351) Management rizik – Směrnice

ČSN EN IEC 31010 ed. 2 (01 0352) Management rizik – Techniky posuzování rizik

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článku „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Vysvětlivky k textu převzaté normy

Pro účely této normy je překlad anglického termínu „management“ ponechán v původním tvaru, s ohledem na kontext, v jakém je v textu normy použit.

Upozornění na národní poznámky

Do článků 5.19 a 5.22 a do tabulky A.1 byly doplněny vysvětlující národní poznámky.

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

 


 

EVROPSKÁ NORMA                                                                                           EN ISO/IEC 27002
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM                                                                                       Listopad 2022

ICS 35.030                                                                                                   Nahrazuje EN ISO/IEC 27002:2017

Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí –
Opatření informační bezpečnosti
(ISO/IEC 27002:2022)

Information security, cybersecurity and privacy protection –
Information security controls
(ISO/IEC 27002:2022)

Sécurité de l’information, cybersécurité et protection de la vie privée – Moyens de maîtrise de l’information (ISO/IEC 27002:2022)

Informationssicherheit, Cybersicherheit und Schutz
der Privatsphäre – Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)

Tato evropská norma byla schválena CEN dne 2022-10-30.

Členové CEN a CENELEC jsou povinni splnit vnitřní předpisy CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se této evropské normě bez jakýchkoliv modifikací uděluje status národní normy. Aktualizované seznamy a bibliografické citace týkající se těchto národních norem lze obdržet na vyžádání v Řídicím centru
CEN-CENELEC nebo u kteréhokoliv člena CEN a CENELEC.

Tato evropská norma existuje ve třech oficiálních verzích (anglické, francouzské, německé). Verze v každém
jiném jazyce přeložená členem CEN a CENELEC do jeho vlastního jazyka, za kterou zodpovídá a kterou notifikuje Řídicímu centru CEN-CENELEC, má stejný status jako oficiální verze.

Členy CEN a CENELEC jsou národní normalizační orgány a národní elektrotechnické komise Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska, Švýcarska a Turecka.

        

Řídicí centrum CEN-CENELEC
Rue de la Science 23, B-1040 Brusel

© 2022 CEN/CENELEC          Veškerá práva pro využití v jakékoliv formě                            Ref. č. EN ISO/IEC 27002:2022 E 
a jakýmikoliv prostředky jsou celosvětově vyhrazena
národním členům CEN a členům CENELEC.

Evropská předmluva

Text ISO/IEC 27002:2022 vypracovala technická komise ISO/IEC JTC 1 Informační technologie Mezinárodní
organizace pro normalizaci (ISO) a byl převzat jako EN ISO/IEC 27002:2022 technickou komisí CEN-CENELEC/JTC 13 Kybernetická bezpečnost a ochrana dat, jejímž sekretariátem je DIN.

Této evropské normě je nutno nejpozději do května 2023 udělit status národní normy, a to buď vydáním identického textu, nebo schválením k přímému používání, a národní normy, které jsou s ní v rozporu, je nutno zrušit nejpozději do května 2023.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv.
CEN-CENELEC nelze činit odpovědným za identifikaci jakéhokoliv nebo všech patentových práv.

Tento dokument nahrazuje EN ISO/IEC 27002:2017.

Jakákoli zpětná vazba a otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na webových stránkách CEN a CENELEC.

Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou normu povinny zavést národní normalizační organizace následujících zemí: Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska, Švýcarska a Turecka.

Oznámení o schválení

Text ISO/IEC 27002:2022 byl schválen CEN-CENELEC jako EN ISO/IEC 27002:2022 bez jakýchkoliv modifikací.

Obsah

Strana

Evropská předmluva.................................................................................................................................................................................... 6

Předmluva................................................................................................................................................................................................... 10

Úvod............................................................................................................................................................................................................. 11

1......... Předmět normy.............................................................................................................................................................................. 13

2......... Citované dokumenty..................................................................................................................................................................... 13

3......... Termíny, definice a zkrácené termíny....................................................................................................................................... 13

3.1...... Termíny a definice........................................................................................................................................................................ 13

3.2...... Zkrácené termíny........................................................................................................................................................................... 17

4......... Struktura tohoto dokumentu........................................................................................................................................................ 18

4.1...... Kapitoly............................................................................................................................................................................................ 18

4.2...... Témata a atributy........................................................................................................................................................................... 19

4.3...... Uspořádání opatření..................................................................................................................................................................... 20

5......... Organizační opatření.................................................................................................................................................................... 20

5.1...... Politiky pro informační bezpečnost............................................................................................................................................ 20

5.2...... Role a odpovědnosti v oblasti informační bezpečnosti......................................................................................................... 22

5.3...... Oddělení povinností...................................................................................................................................................................... 22

5.4...... Odpovědnosti vedení.................................................................................................................................................................... 23

5.5...... Kontakt s autoritami...................................................................................................................................................................... 24

5.6...... Kontakt se zvláštními zájmovými skupinami........................................................................................................................... 24

5.7...... Zpravodajství o hrozbách............................................................................................................................................................. 25

5.8...... Informační bezpečnost v řízení projektů................................................................................................................................... 26

5.9...... Evidence informací a dalších souvisejících aktiv.................................................................................................................... 27

5.10.... Přípustné používání informací a dalších souvisejících aktiv................................................................................................. 29

5.11.... Vrácení aktiv................................................................................................................................................................................... 29

5.12.... Klasifikace informací.................................................................................................................................................................... 30

5.13.... Označování informací.................................................................................................................................................................. 31

5.14.... Předávání informací..................................................................................................................................................................... 32

5.15.... Řízení přístupu............................................................................................................................................................................... 34

5.16.... Management identit...................................................................................................................................................................... 36

5.17.... Autentizační informace................................................................................................................................................................ 37

5.18.... Přístupová práva............................................................................................................................................................................ 38

5.19.... Informační bezpečnost ve vztazích s dodavateli..................................................................................................................... 39

5.20.... Řešení informační bezpečnosti v dohodách s dodavateli..................................................................................................... 41

5.21.... Management informační bezpečnosti v dodavatelském řetězci ICT.................................................................................. 43

5.22.... Monitorování, přezkoumávání a management změn dodavatelských služeb.................................................................. 44

5.23.... Informační bezpečnost při používání cloudových služeb...................................................................................................... 46

5.24.... Plánování a příprava managementu incidentů informační bezpečnosti........................................................................... 47

5.25.... Posuzování a rozhodování o událostech informační bezpečnosti...................................................................................... 49

5.26.... Odezva na incidenty informační bezpečnosti.......................................................................................................................... 49

5.27.... Poučení se z incidentů informační bezpečnosti...................................................................................................................... 50

5.28.... Shromažďování důkazů............................................................................................................................................................... 51

5.29.... Informační bezpečnost během narušení.................................................................................................................................. 51

Strana

5.30.... Připravenost ICT na zajištění kontinuity činnosti organizace................................................................................................ 52

5.31.... Zákonné, statutární, regulatorní a smluvní požadavky........................................................................................................... 53

5.32.... Práva duševního vlastnictví......................................................................................................................................................... 54

5.33.... Ochrana záznamů......................................................................................................................................................................... 55

5.34.... Soukromí a ochrana PII................................................................................................................................................................ 56

5.35.... Nezávislé přezkoumání informační bezpečnosti.................................................................................................................... 57

5.36.... Dodržování politik, pravidel a norem pro informační bezpečnost....................................................................................... 58

5.37.... Dokumentované provozní postupy............................................................................................................................................ 59

6......... Opatření v oblasti lidských zdrojů............................................................................................................................................... 60

6.1...... Prověřování.................................................................................................................................................................................... 60

6.2...... Podmínky pracovního poměru................................................................................................................................................... 61

6.3...... Povědomí, vzdělávání a školení o informační bezpečnosti.................................................................................................. 62

6.4...... Disciplinární řízení......................................................................................................................................................................... 63

6.5...... Odpovědnosti po ukončení nebo změně pracovního poměru............................................................................................. 64

6.6...... Dohody o důvěrnosti nebo mlčenlivosti.................................................................................................................................... 64

6.7...... Práce na dálku............................................................................................................................................................................... 65

6.8...... Podávání zpráv o událostech informační bezpečnosti.......................................................................................................... 67

7......... Opatření fyzické bezpečnosti...................................................................................................................................................... 68

7.1...... Perimetry fyzické bezpečnosti.................................................................................................................................................... 68

7.2...... Fyzický vstup.................................................................................................................................................................................. 68

7.3...... Zabezpečení kanceláří, místností a vybavení.......................................................................................................................... 70

7.4...... Monitorování fyzické bezpečnosti.............................................................................................................................................. 70

7.5...... Ochrana před fyzickými a přírodními hrozbami...................................................................................................................... 71

7.6...... Práce v zabezpečených oblastech............................................................................................................................................ 72

7.7...... Prázdný stůl a prázdná obrazovka............................................................................................................................................. 73

7.8...... Umístění a ochrana zařízení....................................................................................................................................................... 73

7.9...... Bezpečnost aktiv mimo prostory organizace........................................................................................................................... 74

7.10.... Paměťová média.......................................................................................................................................................................... 75

7.11.... Podpůrné služby............................................................................................................................................................................ 76

7.12.... Bezpečnost kabelových rozvodů................................................................................................................................................ 77

7.13.... Údržba zařízení.............................................................................................................................................................................. 78

7.14.... Bezpečná likvidace nebo opakované použití zařízení........................................................................................................... 78

8......... Technologická opatření................................................................................................................................................................ 79

8.1...... Koncová zařízení uživatele.......................................................................................................................................................... 79

8.2...... Privilegovaná přístupová práva.................................................................................................................................................. 81

8.3...... Omezení přístupu k informacím................................................................................................................................................. 82

8.4...... Přístup ke zdrojovému kódu........................................................................................................................................................ 84

8.5...... Bezpečná autentizace.................................................................................................................................................................. 85

8.6...... Management kapacit.................................................................................................................................................................... 86

8.7...... Ochrana před škodlivým softwarem.......................................................................................................................................... 87

8.8...... Management technických zranitelností..................................................................................................................................... 88

8.9...... Management konfigurací............................................................................................................................................................. 91

8.10.... Vymazání informací...................................................................................................................................................................... 92

Strana

8.11.... Maskování dat................................................................................................................................................................................ 93

8.12.... Prevence úniku dat....................................................................................................................................................................... 95

8.13.... Zálohování informací.................................................................................................................................................................... 96

8.14.... Redundance vybavení pro zpracování informací................................................................................................................... 97

8.15.... Zaznamenávání formou logů..................................................................................................................................................... 98

8.16.... Monitorovací činnosti.................................................................................................................................................................. 100

8.17.... Synchronizace hodin.................................................................................................................................................................. 102

8.18.... Používání privilegovaných obslužných programů................................................................................................................ 102

8.19.... Instalace softwaru na provozních systémech........................................................................................................................ 103

8.20.... Bezpečnost sítí............................................................................................................................................................................. 104

8.21.... Bezpečnost síťových služeb..................................................................................................................................................... 105

8.22.... Oddělení sítí................................................................................................................................................................................. 106

8.23.... Filtrování webových stránek...................................................................................................................................................... 107

8.24.... Používání kryptografie............................................................................................................................................................... 107

8.25.... Životní cyklus bezpečného vývoje........................................................................................................................................... 109

8.26.... Požadavky na bezpečnost aplikací......................................................................................................................................... 110

8.27.... Principy architektury a inženýrství bezpečných systémů.................................................................................................... 111

8.28.... Bezpečné programování........................................................................................................................................................... 113

8.29.... Testování bezpečnosti při vývoji a akceptaci......................................................................................................................... 115

8.30.... Vývoj zajišťovaný externími zdroji........................................................................................................................................... 116

8.31.... Oddělení prostředí vývoje, testování a produkce.................................................................................................................. 117

8.32.... Management změn.................................................................................................................................................................... 118

8.33.... Informace pro testování............................................................................................................................................................. 119

8.34.... Ochrana informačních systémů během auditního testování.............................................................................................. 120

Příloha A (informativní) Používání atributů......................................................................................................................................... 121

Příloha B (informativní) Korespondence ISO/IEC 27002:2022 (tento dokument) s ISO/IEC 27002:2013............................ 130

Bibliografie................................................................................................................................................................................................ 137

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2022

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku

 

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives nebo www.iec.ch/members_experts/refdocs).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdr-
žených IEC (viz patents.iec.ch).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html. V IEC viz      
www.iec.ch/understanding-standards.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí.

Toto třetí vydání zrušuje a nahrazuje druhé vydání (ISO/IEC 27002:2013), které bylo technicky zrevidováno. To zahrnuje také technické opravy ISO/IEC 27002:2013/Cor. 1:2014 a ISO/IEC 27002:2013/Cor. 2:2015.

Hlavní změny jsou:

    název byl změněn;

    struktura dokumentu byla změněna, opatření jsou prezentována pomocí jednoduché taxonomie a souvisejících atributů;

    některá opatření byla sloučena, některá odstraněna a bylo zavedeno několik nových opatření. Úplnou korespondenci lze nalézt v příloze B.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html           
www.iec.ch/national-committees.

Úvod

0.1 Pozadí a kontext

Tento dokument je určen pro organizace všech typů a velikostí. Slouží jako reference pro určení a zavedení opatření pro ošetření rizik informační bezpečnosti v systému managementu informační bezpečnosti (ISMS) založeném na ISO/IEC 27001. Může být také použit jako pokyny pro organizace, které stanovují a zavádějí obecně uznávaná opatření informační bezpečnosti. Kromě toho je tento dokument určen k použití při vytváření směrnic pro mana-
gement informační bezpečnosti specifických pro dané odvětví a organizaci, přičemž se zohlední jejich specifické prostředí (specifická prostředí) pro management rizik informační bezpečnosti. Jiná opatření specifická pro organizaci nebo prostředí než ta, která jsou obsažena v tomto dokumentu, mohou být podle potřeby stanovena na základě posouzení rizik.

Organizace všech typů a velikostí (včetně veřejného a soukromého sektoru, komerčních a neziskových organizací) vytvářejí, shromažďují, zpracovávají, ukládají, přenášejí a likvidují informace v mnoha formách, včetně elektronických, fyzických a verbálních (např. rozhovory a prezentace).

Hodnota informací přesahuje psaná slova, čísla a obrázky: znalosti, koncepty, nápady a značky jsou příklady nehmotných forem informací. V propojeném světě si informace a další související aktiva zaslouží nebo vyžadují ochranu před různými zdroji rizik, ať už přírodními, náhodnými nebo úmyslnými.

Informační bezpečnosti je dosaženo zavedením vhodného souboru opatření, včetně politik, pravidel, procesů, postupů, organizačních struktur a funkcí softwaru a hardwaru. Aby organizace splnila své specifické cíle bezpečnosti a činnosti, má tato opatření definovat, zavést, monitorovat, přezkoumávat a v případě potřeby zlepšovat. Systém ISMS, jako je systém specifikovaný v ISO/IEC 27001, zaujímá holistický, koordinovaný pohled na rizika informační bezpečnosti organizace s cílem určit a zavést komplexní soubor opatření informační bezpečnosti v celkovém rámci koherentního systému managementu.

Mnoho informačních systémů, včetně jejich managementu a provozu, nebylo navrženo tak, aby byly bezpečné z hlediska ISMS, jak je specifikováno v ISO/IEC 27001 a v tomto dokumentu. Úroveň bezpečnosti, které je možné dosáhnout pouze technologickými opatřeními, je omezená a má být podpořena vhodnými řídicími činnostmi a orga-
nizačními procesy. Určení, která opatření mají být zavedena, vyžaduje pečlivé plánování a pozornost věnovanou detailům při ošetření rizik.

Úspěšný ISMS vyžaduje podporu všech pracovníků organizace. Může také vyžadovat účast dalších zainteresovaných stran, jako jsou akcionáři nebo dodavatelé. Může být také zapotřebí poradenství od odborníků na danou problematiku.

Vhodný, přiměřený a efektivní systém managementu informační bezpečnosti poskytuje vedení organizace a dalším zainteresovaným stranám záruku, že jejich informace a další související aktiva jsou přiměřeně zabezpečeny a chráněny před hrozbami a škodami, což organizaci umožňuje dosáhnout stanovených cílů vyplývajících z činnosti organizace.

0.2 Požadavky informační bezpečnosti

Je nezbytné, aby organizace stanovila své požadavky na informační bezpečnost. Existují tři hlavní zdroje požadavků na informační bezpečnost:

a)   posouzení rizik organizace s přihlédnutím k celkové strategii a cílům organizace vyplývajících z činnosti organizace. To je možné usnadnit nebo podpořit prostřednictvím posouzení rizik specifických pro informační bezpečnost. Výsledkem má být stanovení opatření nezbytných k zajištění toho, aby zbytkové riziko pro organizaci splňovalo její kritéria přijatelnosti rizik;

b)   zákonné, statutární, regulatorní a smluvní požadavky, které musí organizace a její zainteresované strany (obchodní partneři, poskytovatelé služeb atd.) splňovat, a jejich sociokulturní prostředí;

c)   soubor zásad, cílů a požadavků vyplývajících z činnosti organizace pro všechny kroky životního cyklu informací, které organizace vytvořila pro podporu svého provozu.

0.3 Opatření

Opatření je definováno jako kroky, které modifikují nebo zachovávají riziko. Některá opatření v tomto dokumentu jsou opatření, která riziko modifikují, zatímco jiná riziko zachovávají. Například politika informační bezpečnosti může riziko pouze zachovávat, zatímco dodržování politiky informační bezpečnosti může riziko modifikovat. Některá opatření navíc popisují stejné obecné opatření v různých kontextech rizika. Tento dokument poskytuje obecnou směsici organizačních, personálních, fyzických a technologických opatření informační bezpečnosti odvozených z mezinárodně uznávaných osvědčených postupů.

0.4 Stanovení opatření

Stanovení opatření závisí na rozhodnutích organizace po posouzení rizik s jasně definovaným rozsahem. Rozhodnutí týkající se identifikovaných rizik mají vycházet z kritérií pro přijatelnost rizika, možností ošetření rizika a přístupu k managementu rizik uplatňovaného organizací. Stanovení opatření má rovněž zohlednit všechny
relevantní národní a mezinárodní právní předpisy a nařízení. Stanovení opatření závisí také na způsobu, jakým se opatření vzájemně ovlivňují, aby poskytovaly hloubkovou ochranu.

Organizace může navrhnout opatření podle potřeby nebo je identifikovat z libovolného zdroje. Při specifikaci
takových opatření má organizace zvážit zdroje a investice potřebné k zavedení a provozování opatření v porovnání s realizovanou hodnotou ve vztahu k činnosti organizace. Viz ISO/IEC TR 27016 pro pokyny k rozhodování
o investicích do ISMS a ekonomické důsledky těchto rozhodnutí s ohledem na konkurenční požadavky na zdroje.

Má existovat rovnováha mezi prostředky vynaloženými na zavedení opatření a potenciálním dopadem na činnosti organizace v důsledku bezpečnostních incidentů při absenci těchto opatření. Výsledky posouzení rizik mají pomoci směrovat a určit vhodné kroky vedení, priority pro management rizik informační bezpečnosti a pro zavedení opatření určených jako nezbytné k ochraně před těmito riziky.

Některá z opatření v tomto dokumentu mohou být považována za hlavní zásady pro management informační bezpečnosti a za použitelné pro většinu organizací. Více informací o určování opatření a dalších možnostech ošetření rizik lze nalézt v ISO/IEC 27005.

0.5 Vypracování směrnic specifických pro organizaci

Tento dokument může být považován za výchozí bod pro vypracování směrnic specifických pro danou organizaci. Ne všechna opatření a pokyny uvedené v tomto dokumentu mohou být použitelné pro všechny organizace. K řešení specifických potřeb organizace a identifikovaných rizik mohou být zapotřebí i další opatření a směrnice, které nejsou v tomto dokumentu zahrnuty. Pokud jsou vypracovány dokumenty obsahující další směrnice nebo opatření, může být pro budoucí použití užitečné zahrnout křížové odkazy na články v tomto dokumentu.

0.6 Zohlednění životního cyklu

Informace má svůj životní cyklus, od vytvoření až po likvidaci. Hodnota informací a rizika pro ně se mohou v průběhu tohoto životního cyklu měnit (např. neoprávněné vyzrazení nebo odcizení finančních účtů společnosti není po jejich zveřejnění významné, ale integrita zůstává kritická), proto zůstává informační bezpečnost do určité míry důležitá ve všech fázích.

Informační systémy a další aktiva související s informační bezpečností mají životní cykly, v jejichž rámci jsou koncipovány, specifikovány, navrhovány, vyvíjeny, testovány, zaváděny, používány, udržovány a nakonec vyřazovány z provozu a likvidovány. Informační bezpečnost má být zohledněna v každé fázi. Projekty vývoje nových systémů a změny stávajících systémů poskytují příležitosti ke zlepšení opatření bezpečnosti a zároveň zohledňují rizika organizace a zkušenosti získané z incidentů.

0.7 Související mezinárodní normy

Zatímco tento dokument nabízí pokyny k široké škále opatření informační bezpečnosti, které se běžně používají v mnoha různých organizacích, další dokumenty z řady ISO/IEC 27000 poskytují doplňující rady nebo požadavky týkající se dalších aspektů celkového procesu managementu informační bezpečnosti.

Obecný úvod k ISMS a řadě dokumentů naleznete v ISO/IEC 27000. ISO/IEC 27000 obsahuje slovník, který definuje většinu termínů používaných v celé řadě dokumentů ISO/IEC 27000, a popisuje rozsah a cíle každého člena této řady.

Existují normy specifické pro odvětví, které obsahují další opatření zaměřené na konkrétní oblasti (např. ISO/IEC 27017 pro cloudové služby, ISO/IEC 27701 pro ochranu soukromí, ISO/IEC 27019 pro energetiku, ISO/IEC 27011 pro telekomunikační organizace a ISO 27799 pro zdravotnictví). Tyto normy jsou zahrnuty v bibliografii a na některé z nich se odkazuje v oddílech s pokyny a dalšími informacemi v kapitolách 5 až 8.

1 Předmět normy

Tento dokument poskytuje referenční soubor obecných opatření informační bezpečnosti včetně pokynů k implementaci. Tento dokument je určen k použití organizacemi:

a)   v rámci systému managementu informační bezpečnosti (ISMS) založeném na ISO/IEC 27001;

b)   pro zavádění opatření informační bezpečnosti založených na mezinárodně uznávaných osvědčených postupech;

c)   pro vypracování směrnic pro management informační bezpečnosti specifických pro organizaci.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz