isms:iso27001
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
isms:iso27001 [2018/05/15 07:56] matt [5.2 Politika] |
isms:iso27001 [2019/08/02 11:18] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== ISO 27001 ====== | ====== ISO 27001 ====== | ||
| - | Toto není uplný přepis normu, ale její shrnutí. | + | Toto není uplný přepis normy, ale pouze její shrnutí. |
| ===== 1. Předmět normy ===== | ===== 1. Předmět normy ===== | ||
| Line 12: | Line 12: | ||
| ==== 4.1 Porozumění organizaci a jejímu kontextu ==== | ==== 4.1 Porozumění organizaci a jejímu kontextu ==== | ||
| - | Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její zájmy. | + | Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její záměry. |
| ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ==== | ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ==== | ||
| Line 57: | Line 57: | ||
| Politika BI musí:\\ | Politika BI musí:\\ | ||
| e) být dostupná jako dokumentovaná informace\\ | e) být dostupná jako dokumentovaná informace\\ | ||
| - | f) být komunikována\\ | + | f) být komunikována v rámci [[isms:slovnik:organizace|organizace]]\\ |
| g) být přiměřeně dostupná [[isms:slovnik:zainteresovana_strana|zainteresovaným stranám]] | g) být přiměřeně dostupná [[isms:slovnik:zainteresovana_strana|zainteresovaným stranám]] | ||
| Line 67: | Line 67: | ||
| a) zajištění shody ISMS s touto normou\\ | a) zajištění shody ISMS s touto normou\\ | ||
| b) podávání zprávy o vykonosti ISMS vrcholovému vedení | b) podávání zprávy o vykonosti ISMS vrcholovému vedení | ||
| + | |||
| + | Vrcholové vedení může delegovat odpovědnosti a pravomoci podávání zpráv o výkonnosti ISMS v rámci organizace | ||
| + | |||
| + | ===== 6. Plánování ===== | ||
| + | |||
| + | ==== 6.1 Opatření zaměřená na rizika ==== | ||
| + | |||
| + | === 6.1.1 Obecně === | ||
| + | |||
| + | **Při plánování** ISMS musí organizace **zvážit** aspekty v **4.1** a požadavky v **4.2** a **určit rizika** a příležitosti, **na které je třeba se zaměřit** pro: | ||
| + | |||
| + | a) zajištění, že ISMS **může dosáhnout zamýšleného výstupu**\\ | ||
| + | b) **předcházení** nebo snížení nežádoucích **následků**\\ | ||
| + | c) dosažení **neustálého zlepšování**\\ | ||
| + | Organizace musí **plánovat**:\\ | ||
| + | d) **opatření** zaměřená na tato rizika a příležitost\\ | ||
| + | e) jak\\ | ||
| + | - **integrovat** a implementovat tato opatření do procesů ISMS\\ | ||
| + | - **vyhodnocovat efektivnost** opatření | ||
| + | |||
| + | === 6.1.2 Posuzování rizik BI === | ||
| + | musí definovat a aplikovat **proces posuzování rizik** BI, který | ||
| + | |||
| + | a) stanoví a udržuje **kritéria rizik** BI | ||
| + | - kritéria **akceptace** rizik | ||
| + | - kritéria pro **posouzení** rizik | ||
| + | b) zajistí že, **opakované posouzení rizik** BI **produkuje [[isms:slovnik:konzistence|konzistentní]] a porovnatelné výsledky**\\ \\ | ||
| + | c) **identifikuje rizika** | ||
| + | - používá proces identifikace ztráty [[isms:slovnik:duvernost|důvěrnosti]],[[isms:slovnik:integrita|integrity]] a [[isms:slovnik:dostupnost|dostupnosti]] | ||
| + | - identifikuje vlastníka rizika | ||
| + | d) **analyzuje rizika** | ||
| + | - posuzuje pontecionální **[[isms:slovnik:nasledek|následky]]**, při realizaci rizik identifikovaných v 6.1.2 c) 1) | ||
| + | - posuzuje **[[isms:slovnik:pravdepodobnost|pravděpodobnost]]** výskytu rizik identifikovaných v 6.1.2 c) 1) | ||
| + | - určuje **[[isms:slovnik:uroven_rizika|úroveň]]** rizik | ||
| + | e) **hodnotí rizika** | ||
| + | - **porovná výsledky AR a kritéria rizik** pro akceptaci a posouzení | ||
| + | - stanovuje **priority rizik pro ošetření** | ||
| + | |||
| + | Musí uchovávat dokumentované informace o procesu posuzování rizik BI. | ||
| + | |||
| + | |||
| + | === 6.1.3 Ošetření rizik BI === | ||
| + | |||
| + | |||
| + | Organizace musí definovat a používat **proces ošetření rizik** BI pro:\\ | ||
| + | a) **výběr vhodných variant pro [[isms:slovnik:osetreni_rizika|ošetření]]** rizika BI s ohledem na výsledky posouzení rizik\\ | ||
| + | b) **určení všech [[isms:slovnik:opatreni|opatření]]** nezbytných k implementaci vybrané varianty pro [[isms:slovnik:osetreni_rizika|ošetření rizika]]\\ | ||
| + | c) porovnání opatření určených výše v b) s opatřeními **v příloze A** a pro [[isms:slovnik:verifikace_overeni|verifikaci]], že žádné nezbytné **opatření nebylo vynecháno**\\ | ||
| + | d) vytvoření **Prohlášení o aplikovatelnosti**, které obsahuje nezbytná opatření (viz b) a c)) a zdůvodnění pro jejich zahrnutí, nebo vyloučení z přílohy A\\ | ||
| + | e) formulace **plánu ošetření rizik** BI\\ | ||
| + | f) získání **souhlasu [[isms:slovnik:vlastnik_rizika|vlastníků rizik]] ohledně plánu ošetření rizik** BI **a přijetí [[isms:slovnik:zbytkove_riziko|zbytkových rizik]]** BI | ||
| + | |||
| + | |||
| + | Musí uchovávat dokumentované informace o procesu ošetření rizik BI. | ||
| - | |||
isms/iso27001.1526370985.txt.gz · Last modified: 2019/08/02 11:18 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
