isms:iso27001
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
isms:iso27001 [2018/05/15 08:19] matt |
isms:iso27001 [2019/08/02 11:18] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== ISO 27001 ====== | ====== ISO 27001 ====== | ||
| - | Toto není uplný přepis normu, ale její shrnutí. | + | Toto není uplný přepis normy, ale pouze její shrnutí. |
| ===== 1. Předmět normy ===== | ===== 1. Předmět normy ===== | ||
| Line 12: | Line 12: | ||
| ==== 4.1 Porozumění organizaci a jejímu kontextu ==== | ==== 4.1 Porozumění organizaci a jejímu kontextu ==== | ||
| - | Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její zájmy. | + | Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její záměry. |
| ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ==== | ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ==== | ||
| Line 76: | Line 76: | ||
| === 6.1.1 Obecně === | === 6.1.1 Obecně === | ||
| - | **Při plánování** ISMS musí organizace zvážit aspekty v 4.1 a požadavky v 4.2 a určit rizika a příležitosti, na které je třeba **se zaměřit** pro: | + | **Při plánování** ISMS musí organizace **zvážit** aspekty v **4.1** a požadavky v **4.2** a **určit rizika** a příležitosti, **na které je třeba se zaměřit** pro: |
| - | a) zajištění, že ISMS může dosáhnout zamýšleného výstupu | + | a) zajištění, že ISMS **může dosáhnout zamýšleného výstupu**\\ |
| - | b) předcházení nebo snížení nežádoucích následků | + | b) **předcházení** nebo snížení nežádoucích **následků**\\ |
| - | c) dosažení neustálého zlepšování | + | c) dosažení **neustálého zlepšování**\\ |
| - | Organizace musí plánovat: | + | Organizace musí **plánovat**:\\ |
| - | d) opatření zaměřená na tato rizika a příležitosti | + | d) **opatření** zaměřená na tato rizika a příležitost\\ |
| - | e) jak | + | e) jak\\ |
| - | 1)integrovat a implementovat tato opatření do procesů ISMS | + | - **integrovat** a implementovat tato opatření do procesů ISMS\\ |
| - | 2)vyhodnocovat efektivnost opatření | + | - **vyhodnocovat efektivnost** opatření |
| - | + | ||
| + | === 6.1.2 Posuzování rizik BI === | ||
| + | musí definovat a aplikovat **proces posuzování rizik** BI, který | ||
| + | a) stanoví a udržuje **kritéria rizik** BI | ||
| + | - kritéria **akceptace** rizik | ||
| + | - kritéria pro **posouzení** rizik | ||
| + | b) zajistí že, **opakované posouzení rizik** BI **produkuje [[isms:slovnik:konzistence|konzistentní]] a porovnatelné výsledky**\\ \\ | ||
| + | c) **identifikuje rizika** | ||
| + | - používá proces identifikace ztráty [[isms:slovnik:duvernost|důvěrnosti]],[[isms:slovnik:integrita|integrity]] a [[isms:slovnik:dostupnost|dostupnosti]] | ||
| + | - identifikuje vlastníka rizika | ||
| + | d) **analyzuje rizika** | ||
| + | - posuzuje pontecionální **[[isms:slovnik:nasledek|následky]]**, při realizaci rizik identifikovaných v 6.1.2 c) 1) | ||
| + | - posuzuje **[[isms:slovnik:pravdepodobnost|pravděpodobnost]]** výskytu rizik identifikovaných v 6.1.2 c) 1) | ||
| + | - určuje **[[isms:slovnik:uroven_rizika|úroveň]]** rizik | ||
| + | e) **hodnotí rizika** | ||
| + | - **porovná výsledky AR a kritéria rizik** pro akceptaci a posouzení | ||
| + | - stanovuje **priority rizik pro ošetření** | ||
| + | |||
| + | Musí uchovávat dokumentované informace o procesu posuzování rizik BI. | ||
| + | |||
| + | |||
| + | === 6.1.3 Ošetření rizik BI === | ||
| + | |||
| + | |||
| + | Organizace musí definovat a používat **proces ošetření rizik** BI pro:\\ | ||
| + | a) **výběr vhodných variant pro [[isms:slovnik:osetreni_rizika|ošetření]]** rizika BI s ohledem na výsledky posouzení rizik\\ | ||
| + | b) **určení všech [[isms:slovnik:opatreni|opatření]]** nezbytných k implementaci vybrané varianty pro [[isms:slovnik:osetreni_rizika|ošetření rizika]]\\ | ||
| + | c) porovnání opatření určených výše v b) s opatřeními **v příloze A** a pro [[isms:slovnik:verifikace_overeni|verifikaci]], že žádné nezbytné **opatření nebylo vynecháno**\\ | ||
| + | d) vytvoření **Prohlášení o aplikovatelnosti**, které obsahuje nezbytná opatření (viz b) a c)) a zdůvodnění pro jejich zahrnutí, nebo vyloučení z přílohy A\\ | ||
| + | e) formulace **plánu ošetření rizik** BI\\ | ||
| + | f) získání **souhlasu [[isms:slovnik:vlastnik_rizika|vlastníků rizik]] ohledně plánu ošetření rizik** BI **a přijetí [[isms:slovnik:zbytkove_riziko|zbytkových rizik]]** BI | ||
| + | |||
| + | |||
| + | Musí uchovávat dokumentované informace o procesu ošetření rizik BI. | ||
isms/iso27001.1526372353.txt.gz · Last modified: 2019/08/02 11:18 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
