====== ISO 27001 ====== Toto není uplný přepis normy, ale pouze její shrnutí. ===== 1. Předmět normy ===== Specifikuje [[isms:slovnik:pozadavek|požadavky]] na ustavení, implementování, provozování a stále zlepšování ISMS v rámci kontextu [[isms:slovnik:organizace|organizace]]. Zahrnuje požadavky na [[isms:slovnik:posuzovani_rizika|posouzení]] a [[isms:slovnik:osetreni_rizika|ošetření rizik]]. Vyloučení jakýchkoli požadavků z kapitoly 4 až 10 je nepřijatelné. ===== 2. Citace ===== ===== 3. Termíny a definice ===== ===== 4. Kontext organizace ===== ---- ==== 4.1 Porozumění organizaci a jejímu kontextu ==== Organizace musí určit [[isms:slovnik:vnejsi_kontext|externí]] a [[isms:slovnik:vnitrni_kontext|interní]] kontext, který je významný pro její záměry. ==== 4.2 Porozumění potřebám a očekáváním zainteresovaných stran ==== Organizace musí určit: a) [[isms:slovnik:zainteresovana_strana|zainteresované strany]]\\ b) [[isms:slovnik:pozadavek|požadavky]] [[isms:slovnik:zainteresovana_strana|zainteresovaných stran]] ==== 4.3 Stanovení rozsahu ISMS ==== Organizace musí určit hranice a aplikovatelnost ISMS, při tom zvažuje: a) 4.1\\ b) 4.2\\ c) závislosti činností organizace a jiných organizací Rozsah ISMS musí být dokumentovaný a dostupný. ==== 4.4 Systém řízení bezpečnosti informací ==== Organizace musí ustavit, implementovat, udržovat a neustále zlepšovat ISMS v souladu s touto normou. ===== 5. Vůdčí role ===== ==== 5.1 Vůdčí role a závazek ==== Vrcholové vedení musí demonstrovat vůdčí roli a závazek tím, že: a) zajistí stanovení politiky BI\\ b) zajistí integraci požadavků BI do procesů organizace\\ c) zajistí [[isms:slovnik:zdroje|zdroje]]\\ d) komunikuju význam [[isms:slovnik:efektivnost|efektivního]] řízení BI a význam dosažení [[isms:slovnik:shoda|shody]]\\ e) zajistí dosažení zamýšleného výstupu\\ f) směřuje a podporuje osoby k přispívání [[isms:slovnik:efektivnost|efektivnosti]] ISMS\\ g) prosazuje [[isms:slovnik:neustale_zlepsovani|neustále zlepšování]]\\ h) podporuje ostatní řídící role ==== 5.2 Politika ==== Vrcholové vedení musí stanovit politiku bezpečnosti informací, která a) je přiměřená záměrům organizace\\ b) zahrnuje cíle BI (viz 6.2) nebo rámec pro nastavení cílů BI\\ c) zahrnuje závazek ke splnění požadavků BI\\ d) zahrnuje závazak k [[isms:slovnik:neustale_zlepsovani|neustálemu zlepšování]] řízení BI\\ Politika BI musí:\\ e) být dostupná jako dokumentovaná informace\\ f) být komunikována v rámci [[isms:slovnik:organizace|organizace]]\\ g) být přiměřeně dostupná [[isms:slovnik:zainteresovana_strana|zainteresovaným stranám]] ==== 5.3 Role, odpovědnosti a pravomoci organizace ==== Vrcholové vedení organizace musí zajistit, že odpovědnosti a pravomoci pro role jsou přiřazeny a komunikovány. Musí přiřadit pravomoci a odpovědnosti pro: a) zajištění shody ISMS s touto normou\\ b) podávání zprávy o vykonosti ISMS vrcholovému vedení Vrcholové vedení může delegovat odpovědnosti a pravomoci podávání zpráv o výkonnosti ISMS v rámci organizace ===== 6. Plánování ===== ==== 6.1 Opatření zaměřená na rizika ==== === 6.1.1 Obecně === **Při plánování** ISMS musí organizace **zvážit** aspekty v **4.1** a požadavky v **4.2** a **určit rizika** a příležitosti, **na které je třeba se zaměřit** pro: a) zajištění, že ISMS **může dosáhnout zamýšleného výstupu**\\ b) **předcházení** nebo snížení nežádoucích **následků**\\ c) dosažení **neustálého zlepšování**\\ Organizace musí **plánovat**:\\ d) **opatření** zaměřená na tato rizika a příležitost\\ e) jak\\ - **integrovat** a implementovat tato opatření do procesů ISMS\\ - **vyhodnocovat efektivnost** opatření === 6.1.2 Posuzování rizik BI === musí definovat a aplikovat **proces posuzování rizik** BI, který a) stanoví a udržuje **kritéria rizik** BI - kritéria **akceptace** rizik - kritéria pro **posouzení** rizik b) zajistí že, **opakované posouzení rizik** BI **produkuje [[isms:slovnik:konzistence|konzistentní]] a porovnatelné výsledky**\\ \\ c) **identifikuje rizika** - používá proces identifikace ztráty [[isms:slovnik:duvernost|důvěrnosti]],[[isms:slovnik:integrita|integrity]] a [[isms:slovnik:dostupnost|dostupnosti]] - identifikuje vlastníka rizika d) **analyzuje rizika** - posuzuje pontecionální **[[isms:slovnik:nasledek|následky]]**, při realizaci rizik identifikovaných v 6.1.2 c) 1) - posuzuje **[[isms:slovnik:pravdepodobnost|pravděpodobnost]]** výskytu rizik identifikovaných v 6.1.2 c) 1) - určuje **[[isms:slovnik:uroven_rizika|úroveň]]** rizik e) **hodnotí rizika** - **porovná výsledky AR a kritéria rizik** pro akceptaci a posouzení - stanovuje **priority rizik pro ošetření** Musí uchovávat dokumentované informace o procesu posuzování rizik BI. === 6.1.3 Ošetření rizik BI === Organizace musí definovat a používat **proces ošetření rizik** BI pro:\\ a) **výběr vhodných variant pro [[isms:slovnik:osetreni_rizika|ošetření]]** rizika BI s ohledem na výsledky posouzení rizik\\ b) **určení všech [[isms:slovnik:opatreni|opatření]]** nezbytných k implementaci vybrané varianty pro [[isms:slovnik:osetreni_rizika|ošetření rizika]]\\ c) porovnání opatření určených výše v b) s opatřeními **v příloze A** a pro [[isms:slovnik:verifikace_overeni|verifikaci]], že žádné nezbytné **opatření nebylo vynecháno**\\ d) vytvoření **Prohlášení o aplikovatelnosti**, které obsahuje nezbytná opatření (viz b) a c)) a zdůvodnění pro jejich zahrnutí, nebo vyloučení z přílohy A\\ e) formulace **plánu ošetření rizik** BI\\ f) získání **souhlasu [[isms:slovnik:vlastnik_rizika|vlastníků rizik]] ohledně plánu ošetření rizik** BI **a přijetí [[isms:slovnik:zbytkove_riziko|zbytkových rizik]]** BI Musí uchovávat dokumentované informace o procesu ošetření rizik BI.