ČESKÁ TECHNICKÁ NORMA

ICS 35.040 Září 2014

Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN
ISO/IEC 27001

36 9797

 

Information technology – Security techniques – Information security management systems – Requirements

Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences

Tato norma je českou verzí mezinárodní normy ISO/IEC 27001:2013. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27001:2013. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 27001 (36 9790) z října 2006.

 

Národní předmluva

Změny proti předchozí normě

Toto druhé vydání nahrazuje první vydání (ČSN ISO/IEC 27001:2006), které bylo technicky revidováno. Základní změnou je změna termínů a definic a jejich použití v normě.

Informace o citovaných dokumentech

ISO/IEC 27000zavedena v ČSN ISO/IEC 27000 (36 9790)Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

Souvisící ČSN

ČSN ISO/IEC 27002:2014 (36 9798)Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací

ČSN ISO/IEC 27003 (36 9790)Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací

ČSN ISO/IEC 27004 (36 9790)Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření

ČSN ISO/IEC 27005 (36 9790)Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací

ČSN ISO 31000:2010 (01 0351)Management rizik – Principy a směrnice

Vypracování normy

Zpracovatel: Risk Analysis Consultants, s. r. o., IČ 63672774

Technická normalizační komise: TNK 20 Informační technologie

Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Miroslav Škop

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky – ISO/IEC 27001
Systémy řízení bezpečnosti informací – Požadavky Druhé vydání
2013-10-01

ICS 35.040

Obsah

Strana

0 Úvod 6

0.1 Obecně 6

0.2 Kompatibilita s jinými normami systémů řízení 6

1 Předmět normy 7

2 Citované dokumenty 7

3 Termíny a definice 7

4 Kontext organizace 7

4.1 Porozumění organizaci a jejímu kontextu 7

4.2 Porozumění potřebám a očekáváním zainteresovaných stran 7

4.3 Stanovení rozsahu systému řízení bezpečnosti informací 7

4.4 Systém řízení bezpečnosti informací 7

5 Vůdčí role 8

5.1 Vůdčí role a závazek 8

5.2 Politika 8

5.3 Role, odpovědnosti a pravomoci organizace 8

6 Plánování 8

6.1 Opatření zaměřená na rizika a příležitosti 8

6.2 Cíle bezpečnosti informací a plánování jejich dosažení 10

7 Podpora 10

7.1 Zdroje 10

7.2 Kompetence 10

7.3 Povědomí 10

7.4 Komunikace 10

7.5 Dokumentované informace 11

8 Provozování 11

8.1 Plánování a řízení provozu 11

8.2 Posuzování rizik bezpečnosti informací 12

8.3 Ošetření rizika bezpečnosti informací 12

9 Hodnocení výkonnosti 12

9.1 Monitorování, měření, analýza a hodnocení 12

9.2 Interní audit 12

9.3 Přezkoumání vedením organizace 12

10 Zlepšování 13

10.1 Neshody a nápravná opatření 13

10.2 Neustálé zlepšování 13

Příloha A (normativní) Cíle opatření a jednotlivá opatření 14

Bibliografie 25  

[image]

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2013

Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese, nebo od členské organizace ISO v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org

Published in Switzerland

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní a nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Návrhy mezinárodních norem jsou vypracovávány v souladu s pravidly danými směrnicemi ISO/IEC, část 2.

Hlavním úkolem společné technické komise je vypracování mezinárodních norem. Návrhy mezinárodních norem přijaté společnou technickou komisí jsou rozesílány národním členům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících národních orgánů.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikování jakéhokoliv nebo všech patentových práv.

ISO/IEC 27001 vypracovala společná technická komise ISO/IEC JTC1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27001:2005), které bylo revidováno.

0 Úvod

0.1 Obecně

Tato mezinárodní norma byla připravena, aby poskytla požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací. Přijetí systému řízení bezpečnosti informací je pro organizaci strategickým rozhodnutím. Ustavení a implementace systému řízení bezpečnosti informací organizace jsou ovlivněny potřebami a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně budou v čase měnit.

Systém řízení bezpečnosti informací zachovává důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dává jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.

Je důležité, že systém řízení bezpečnosti informací je součástí procesů a celkové struktury řízení organizace a je do nich integrován. Je také důležité, že bezpečnost informací je zvažována při návrhu procesů, informačních systémů a opatření. Očekává se, že implementace systému řízení bezpečnosti informací bude nastavena v souladu s potřebami organizace.

Tato mezinárodní norma může být použita interními a externími stranami k posouzení schopnosti organizace splnit její vlastní požadavky bezpečnosti informací.

Pořadí, ve kterém jsou uvedeny požadavky této mezinárodní normy, neodráží jejich důležitost nebo nenaznačuje pořadí, ve kterém by měly být implementovány. Položky seznamu jsou vyjmenovány pouze pro referenční účely.

ISO/IEC 27000 popisuje přehled a slovník systémů řízení bezpečnosti informací a odkazuje na řadu norem systému řízení bezpečnosti informací (včetně ISO/IEC 27003[2], ISO/IEC 27004[3] a ISO/IEC 27005[4]) s odpovídajícími termíny a definicemi.

0.2 Kompatibilita s jinými normami systémů řízení

Tato mezinárodní norma aplikuje strukturu vyšší úrovně, totožné názvy článků, totožný text, společné termíny a hlavní definice přesně vymezené v příloze SL v části 1 Směrnic ISO/IEC, Konsolidovaný ISO dodatek, a proto udržuje kompatibilitu s ostatními normami systémů řízení, které přijaly tuto přílohu SL.

Tento společný přístup definovaný v příloze SL bude užitečný pro ty organizace, které se rozhodnou provozovat jediný řídicí systém, který splňuje požadavky dvou a více norem systémů řízení.

1 Předmět normy

Tato mezinárodní norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu organizace. Tato mezinárodní norma také zahrnuje požadavky na posuzování a ošetření rizik bezpečnosti informací, přizpůsobené potřebám organizace. Požadavky této mezinárodní normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností. Vyloučení jakýchkoli požadavků specifikovaných v kapitolách 4 až 10 je nepřijatelné, pokud chce organizace dosáhnout shody s touto normou.

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz