Differences

This shows you the differences between two versions of the page.

--- isms:iso27001 [2018/05/15 08:01]
matt [5.3 Role, odpovědnosti a pravomoci organizace]
+++ isms:iso27001 [2019/08/02 11:18] (current)
@@ Line 1: / Line 1: @@
 ====== ISO 27001 ======
-Toto není uplný přepis normu, ale její shrnutí.
+Toto není uplný přepis normy, ale pouze její shrnutí.
 ===== 1. Předmět normy =====
@@ Line 12: / Line 12: @@
 ==== 4.1 Porozumění organizaci a jejímu kontextu ====
-Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její zájmy.
+Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její záměry.
 ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ====
@@ Line 70: / Line 70: @@
 Vrcholové vedení může delegovat odpovědnosti a pravomoci podávání zpráv o výkonnosti ISMS v rámci organizace
+===== 6. Plánování =====
+==== 6.1 Opatření zaměřená na rizika ====
+=== 6.1.1 Obecně ===
+**Při plánování** ISMS musí organizace **zvážit** aspekty v **4.1** a požadavky v **4.2** a **určit rizika** a příležitosti, **na které je třeba se zaměřit** pro:
+a) zajištění, že ISMS **může dosáhnout zamýšleného výstupu**\\
+b) **předcházení** nebo snížení nežádoucích **následků**\\
+c) dosažení **neustálého zlepšování**\\
+Organizace musí **plánovat**:\\
+d) **opatření** zaměřená na tato rizika a příležitost\\
+e) jak\\
+  - **integrovat** a implementovat tato opatření do procesů ISMS\\
+  - **vyhodnocovat efektivnost** opatření
+=== 6.1.2 Posuzování rizik BI ===
+musí definovat a aplikovat **proces posuzování rizik** BI, který
+a) stanoví a udržuje **kritéria rizik** BI
+  - kritéria **akceptace** rizik
+  - kritéria pro **posouzení** rizik
+b) zajistí že, **opakované posouzení rizik** BI **produkuje [[isms:slovnik:konzistence|konzistentní]] a porovnatelné výsledky**\\ \\
+c) **identifikuje rizika**
+  - používá proces identifikace ztráty [[isms:slovnik:duvernost|důvěrnosti]],[[isms:slovnik:integrita|integrity]] a [[isms:slovnik:dostupnost|dostupnosti]]
+  - identifikuje vlastníka rizika
+d) **analyzuje rizika**
+  - posuzuje pontecionální **[[isms:slovnik:nasledek|následky]]**, při realizaci rizik identifikovaných v 6.1.2 c) 1)
+  - posuzuje **[[isms:slovnik:pravdepodobnost|pravděpodobnost]]** výskytu rizik identifikovaných v 6.1.2 c) 1)
+  - určuje **[[isms:slovnik:uroven_rizika|úroveň]]** rizik
+e) **hodnotí rizika**
+  - **porovná výsledky AR a kritéria rizik** pro akceptaci a posouzení
+  - stanovuje **priority rizik pro ošetření**
+Musí uchovávat dokumentované informace o procesu posuzování rizik BI.
+=== 6.1.3 Ošetření rizik BI ===
+Organizace musí definovat a používat **proces ošetření rizik** BI pro:\\
+a) **výběr vhodných variant pro [[isms:slovnik:osetreni_rizika|ošetření]]** rizika BI s ohledem na výsledky posouzení rizik\\
+b) **určení všech [[isms:slovnik:opatreni|opatření]]** nezbytných k implementaci vybrané varianty pro [[isms:slovnik:osetreni_rizika|ošetření rizika]]\\
+c) porovnání opatření určených výše v b) s opatřeními **v příloze A** a pro [[isms:slovnik:verifikace_overeni|verifikaci]], že žádné nezbytné **opatření nebylo vynecháno**\\
+d) vytvoření **Prohlášení o aplikovatelnosti**, které obsahuje nezbytná opatření (viz b) a c)) a zdůvodnění pro jejich zahrnutí, nebo vyloučení z přílohy A\\
+e) formulace **plánu ošetření rizik** BI\\
+f) získání **souhlasu [[isms:slovnik:vlastnik_rizika|vlastníků rizik]] ohledně plánu ošetření rizik** BI **a přijetí [[isms:slovnik:zbytkove_riziko|zbytkových rizik]]** BI
+Musí uchovávat dokumentované informace o procesu ošetření rizik BI.

User Tools

Site Tools

Differences

Page Tools