ČESKÁ TECHNICKÁ NORMA
ICS 35.040 Prosinec 2011
Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací |
ČSN 36 9790 |
Information technology – Security techniques – Information security management system implementation guidance
Technologies de l’information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système
de management de la sécurité de l’information
Tato norma je českou verzí mezinárodní normy ISO/IEC 27003:2010. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.
This standard is the Czech version of the International Standard ISO/IEC 27003:2010. It was translated by Czech Office for Standards, Metrology and Testing. It has the same status as the official version.
Národní předmluva
Informace o citovaných normativních dokumentech
ISO/IEC 27000:2009 zavedena v ČSN ISO/IEC 27000:2010 (369790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27001:2005 zavedena v ČSN ISO/IEC 27001:2006 (369790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky
Souvisící ČSN
ČSN EN ISO 9001:2009 (01 0321) Systémy managementu jakosti – Požadavky
ČSN EN ISO 14001:2005 (01 0901) Systémy environmentálního managementu – Požadavky s návodem pro použití
ČSN ISO/IEC 15026:2000 (36 9030) Informační technologie – Úrovně integrity softwaru a systému
ČSN ISO/IEC 15408-2:2010 (36 9789) Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT – Část 2: Bezpečnostní funkční komponenty
ČSN ISO/IEC 15408-3:2010 (36 9789) Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT – Část 3: Komponenty bezpečnostních záruk
ČSN ISO/IEC 15939:2011 (36 9040) Softwarové inženýrství – Proces měření
ČSN ISO/IEC 20000-1:2006 (36 9074) Informační technologie – Management služeb – Část 1: Specifikace
ČSN ISO/IEC 27001:2006 (369790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky
ČSN ISO/IEC 27004:2011 (36 3790) Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření
ČSN ISO/IEC 27005:2009 (36 3790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
ČSN ISO/IEC 27006:2008 (36 9790) Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
Vypracování normy
Zpracovatel: Risk Analysis Consultants, s.r.o., IČ 63672774
Technická normalizační komise: TNK 20 Informační technologie
Zaměstnanec Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Petr Wallenfels
MEZINÁRODNÍ NORMA
Informační technologie – Bezpečnostní techniky – ISO/IEC 27003
Směrnice pro implementaci systému řízení bezpečnosti informací První vydání
2010-02-01
ICS 35.040
Obsah
Strana
Úvod 7
1 Předmět normy 8
2 Citované normativní dokumenty 8
3 Termíny a definice 8
4 Struktura této mezinárodní normy 8
4.1 Všeobecná struktura kapitol 8
4.2 Všeobecná struktura kapitoly 9
4.3 Schémata 10
5 Získání souhlasu vedení organizace se zahájením projektu ISMS 11
5.1 Přehled 11
5.2 Upřesnění priorit organizace k vytvoření ISMS 13
5.3 Definování předběžného rozsahu ISMS 14
5.3.1 Vypracování předběžného rozsahu ISMS 14
5.3.2 Definování rolí a odpovědností pro předběžný rozsah ISMS 15
5.4 Vytvoření důvodové studie a projektového plánu pro souhlas vedení organizace 16
6 Definování rozsahu, hranic a politiky ISMS 17
6.1 Přehled 17
6.2 Definování rozsahu a hranic organizace 19
6.3 Definování rozsahu a hranic informačních a komunikačních technologií (ICT) 20
6.4 Definování fyzického rozsahu a hranic 20
6.5 Integrování rozsahů a hranic ISMS 21
6.6 Vytvoření politiky ISMS a získání souhlasu vedení organizace 22
7 Provedení analýzy požadavků bezpečnosti informací 22
7.1 Přehled 22
7.2 Definování požadavků bezpečnosti informací pro proces ISMS 24
7.3 Identifikace aktiv v rámci rozsahu ISMS 24
7.4 Provedení hodnocení bezpečnosti informací 25
8 Provedení hodnocení rizik a plánování zvládání rizik 26
8.1 Přehled 26
8.2 Provedení hodnocení rizik 28
8.3 Výběr cílů opatření a jednotlivých bezpečnostních opatření 28
8.4 Získání povolení ze strany vedení organizace k implementaci a provozu ISMS 29
Strana
9 Návrh ISMS 30
9.1 Přehled 30
9.2 Návrh organizace bezpečnosti informací 33
9.2.1 Návrh finální organizační struktury pro bezpečnost informací 33
9.2.2 Návrh rámce pro dokumentaci ISMS 33
9.2.3 Návrh politiky bezpečnosti informací 35
9.2.4 Vytvoření směrnic a postupů bezpečnosti informací 36
9.3 Návrh bezpečnosti informací ICT a fyzické bezpečnosti 37
9.4 Návrh specifické bezpečnosti informací ISMS 38
9.5 Vytvoření finálního plánu projektu SMS 41
Příloha A (informativní) Popis kontrolního seznamu 42
Příloha B (informativní) Role a odpovědnosti bezpečnosti informací 46
Příloha C (informativní) Informace o interním auditování 49
Příloha D (informativní) Struktura politik 50
Příloha E (informativní) Monitorování a měření 54
Bibliografie 59
Odmítnutí odpovědnosti za manipulaci s PDF souborem Tento soubor PDF může obsahovat vložené typy písma. V souladu s licenční politikou Adobe lze tento soubor tisknout nebo prohlížet, ale nesmí být editován, pokud nejsou typy písma, které jsou vloženy, používány na základě licence a instalovány v počítači, na němž se editace provádí. Při stažení tohoto souboru přejímají jeho uživatelé odpovědnost za to, že nebude porušena licenční politika Adobe. Ústřední sekretariát ISO nepřejímá za její porušení žádnou odpovědnost. Adobe je obchodní značka „Adobe Systems Incorporated“. Podrobnosti o softwarových produktech použitých k vytvoření tohoto souboru PDF lze najít ve Všeobecných informacích, které se vztahují k souboru; parametry, pomocí kterých byl PDF soubor vytvořen, byly optimalizovány pro tisk. Soubor byl zpracován s maximální péčí tak, aby ho členské organizace ISO mohly používat. V málo pravděpodobném případě, tj. když vznikne problém, který se týká souboru, informujte o tom Ústřední sekretariát ISO na níže uvedené adrese. |
[image] |
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2010
Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese nebo od členské organizace ISO v zemi žadatele.
ISO copyright office
Case postale 56 · CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
Předmluva
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací k tomu, aby se zabývaly určitou oblastí technické činnosti. V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informačních technologií zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.
Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v Části 2 Směrnic ISO/IEC.
Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědné za identifikaci libovolného patentového práva nebo všech takových patentových práv.
Mezinárodní norma ISO/IEC 27003 byla připravena společnou technickou komisí ISO/IEC JTC 1, Informační technologie, subkomise SC 27, IT Bezpečnostní techniky.
Úvod
Účelem této mezinárodní normy je poskytnout praktická doporučení při vývoji plánu implementace pro systém řízení bezpečnosti informací (ISMS) v organizaci v souladu s ISO/IEC 27001:2005. Skutečná implementace ISMS se obvykle provádí jako projekt.
Proces popsaný v této mezinárodní normě byl navržen tak, aby poskytoval podporu pro zavedení ISO/IEC 27001:2005 (příslušné části z kapitol 4, 5, a 7 včetně) a zdokumentoval:
a) přípravu zahájení plánu implementace ISMS v organizaci, definování organizační struktury pro projekt a získání souhlasu vedení organizace;
b) kritické činnosti pro projekt ISMS; a
c) příklady naplnění požadavků normy ISO/IEC 27001:2005.
Použitím této mezinárodní normy bude organizace schopna zavést proces řízení bezpečnosti informací poskytující zainteresovaným stranám ujištění o tom, že rizika působící na informační aktiva jsou neustále udržována v rámci přijatelných hranic bezpečnosti informací stanovených organizací.
Tato mezinárodní norma nepokrývá činnosti spojené s provozem ISMS. Poskytuje však doporučení k činnostem, které vyplynou ze zahájení provozování ISMS. Výsledkem této koncepce je finální plán implementace projektu ISMS. Skutečné provedení specifické části projektu ISMS organizace je mimo rozsah této mezinárodní normy.
Implementace projektu ISMS by se měla provádět za použití standardních metodik řízení projektů (více informací naleznete v ISO a ISO/IEC normách, které se týkají řízení projektů).
1 Předmět normy
Tato mezinárodní norma se zaměřuje na kritické aspekty nutné pro úspěšný návrh a implementaci systému řízení bezpečnosti informací (ISMS) v souladu s ISO/IEC 27001:2005. Popisuje proces specifikace a návrhu ISMS od počátku do vytvoření implementačních plánů. Popisuje proces získání souhlasu vedení organizace k zavedení ISMS, definuje projekt, jak implementovat ISMS (tento projekt je dále v této mezinárodní normě uváděn jako projekt ISMS) a poskytuje doporučení, jak plánovat projekt ISMS, aby výsledkem byl finální plán implementace projektu ISMS.
Tato mezinárodní norma je určena pro organizace, které zavádějí ISMS. Je aplikovatelná pro všechny typy
organizací (například: obchodní podniky, vládní organizace, neziskové organizace) všech velikostí. Složitost a rizika každé organizace jsou jedinečná a její specifické požadavky budou hnací silou pro implementaci ISMS. Menší organizace shledají, že činnosti zmíněné v této mezinárodní normě jsou pro ně použitelné a lze je ještě zjednodušit. Velké společnosti mohou shledat, že pro účinné řízení činností popsaných v této mezinárodní normě bude zapotřebí víceúrovňová organizační struktura nebo systém řízení. V obou případech však lze plánovat příslušné činnosti za použití této mezinárodní normy.
Tato mezinárodní norma dává doporučení a vysvětlení; nespecifikuje žádné požadavky. Tato mezinárodní norma je určena pro použití v souvislosti s ISO/IEC 27001:2005 a ISO/IEC 27002:2005, ale není určena k tomu, aby měnila a/nebo redukovala požadavky specifikované v ISO/IEC 27001:2005 nebo doporučení uvedená v ISO/IEC 27002:2005. Vyžadování shody s touto mezinárodní normou není vhodné.
Konec náhledu - text dále pokračuje v placené verzi ČSN.
Zdroj: www.cni.cz