ISO 27001 Bezpečnost informací

datum publikace 23.04.2012

ČSN ISO/IEC 27001: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky

Související články

Datum vydání - říjen 2006 

Účinnost normy - 1. listopad 2006

Britská norma BS 7799-2 byla přijata v roce 2005 Mezinárodní organizací pro normalizaci pod názvem "ISO/IEC 27001:2005 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky". Norma poskytuje doporučení jak aplikovat vybraná opatření ISO/IEC 17799:2005 (v budoucnosti pod označením ISO/IEC 27002) v rámci procesu ustavení, provozu, údržby a zlepšování systému managementu bezpečnosti informací tzv. ISMS (Information Security Management Systém) v organizaci.

Norma prosazuje přijetí procesního přístupu k řešení ISMS. Zavádí známý model PDCA (Plánuj-Dělej-Kontroluj-Jednej v anglické verzi se jedná o Plan-Do-Check-Act). PDCA je aplikovatelný  na všechny procesy ISMS tak, jak jsou definovány v normě. Řídí bezpečnost přístupu k informacím nejen v IT systémech, ale jakéhokoliv přístupu, tedy i k fyzického (ke složkám s papírovými dokumenty apod.). Norma je propojena a harmonizována s normami:

tak, aby bylo podpořeno jejich jednotné zavedení a provozování. V hlavní části normy jsou specifikovány požadavky na:

  • vybudování
  • zavedení
  • provoz
  • monitorování
  • přezkoumání
  • udržování
  • zlepšování
  • a případnou certifikaci dokumentovaného systému managementu bezpečnosti informací.

Jsou zde i požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva organizace. V příloze A jsou uvedeny cíle opatření a jednotlivá opatření, která jsou přímo propojena s cíly a opatřeními uvedenými v ISO/IEC 17799:2005.

V příloze B je popsán vztah mezi principy OECD pro bezpečnost informačních systémů a sítí a fázemi PDCA cyklu.

V příloze C je uveden vztah mezi ISO/IEC 9001:2000, ISO/IEC 14001:2004 a ISO/IEC 27001:2005.

Diskuze k článku

Obor

Myšlenky poradce

„Stát má armádu právníků, soudců, kteří stejně vše hodnotí až po boji.“ více >>

Pavel Trvaj Pavel Trvaj

Pokud jsem si nastavil pravidla pro dodržování legislativních požadavků v oblasti životního prostředí a bezpečnosti práce, tak je to fajn.  V reálném čase se však jedná o „popsaný“ papír. Abych si zajistil aktuálnost uvedených dokumentů i v budoucnu, tak je třeba předpisy neustále přezkoumávat, aktualizovat a doplňovat nové požadavky. Jedním ze systémových nástrojů je aplikace a případná certifikace podle norem ISO 14001 a OHSAS 18001.

Kvóty auditu
Mapa procesů
Koš - barva neshoda?
Diskriminace ISO
Formální strategie