ISO 27001 Bezpečnost informací

datum publikace 23.04.2012

ČSN ISO/IEC 27001: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky

Související články

Datum vydání - říjen 2006 

Účinnost normy - 1. listopad 2006

Britská norma BS 7799-2 byla přijata v roce 2005 Mezinárodní organizací pro normalizaci pod názvem "ISO/IEC 27001:2005 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky". Norma poskytuje doporučení jak aplikovat vybraná opatření ISO/IEC 17799:2005 (v budoucnosti pod označením ISO/IEC 27002) v rámci procesu ustavení, provozu, údržby a zlepšování systému managementu bezpečnosti informací tzv. ISMS (Information Security Management Systém) v organizaci.

Norma prosazuje přijetí procesního přístupu k řešení ISMS. Zavádí známý model PDCA (Plánuj-Dělej-Kontroluj-Jednej v anglické verzi se jedná o Plan-Do-Check-Act). PDCA je aplikovatelný  na všechny procesy ISMS tak, jak jsou definovány v normě. Řídí bezpečnost přístupu k informacím nejen v IT systémech, ale jakéhokoliv přístupu, tedy i k fyzického (ke složkám s papírovými dokumenty apod.). Norma je propojena a harmonizována s normami:

tak, aby bylo podpořeno jejich jednotné zavedení a provozování. V hlavní části normy jsou specifikovány požadavky na:

  • vybudování
  • zavedení
  • provoz
  • monitorování
  • přezkoumání
  • udržování
  • zlepšování
  • a případnou certifikaci dokumentovaného systému managementu bezpečnosti informací.

Jsou zde i požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva organizace. V příloze A jsou uvedeny cíle opatření a jednotlivá opatření, která jsou přímo propojena s cíly a opatřeními uvedenými v ISO/IEC 17799:2005.

V příloze B je popsán vztah mezi principy OECD pro bezpečnost informačních systémů a sítí a fázemi PDCA cyklu.

V příloze C je uveden vztah mezi ISO/IEC 9001:2000, ISO/IEC 14001:2004 a ISO/IEC 27001:2005.

Diskuze k článku

Obor

Myšlenky poradce

„Nejrozšířenější, nejjednodušší postup jak efektivně rozjet podnikání je ISO, jen málokdo to pochopil.“ více >>

Pavel Trvaj Pavel Trvaj

Každé podnikání (i výroba piva) začíná tím, že si odpovím na následující otázky – kdo potřebuje pivo? Kolik ho bude potřebovat? Za kolik jej mohu prodávat? Apod. Prostě napřed uděláte rozbor potřeb, zákazníků – marketingový průzkum, finanční kalkulace. Stanovíte si konkrétní vizi, strategii, cíle. Vše připravujete sami, je to přeci Vaše myšlenka, Vaše podnikání, prostě se angažujete.

Když vše dává smysl a je to reálné, začnete definovat, co musíte všechno a jak udělat – no prostě definujete procesy. K nim pak přidáte zdroje (lidské a materiální), vybavení, informace, apod. Pokud jsou pořád rizika menší než možnost být přínosný pro zákazníka. Můžete podnikání rozjet. Oslovíte zákazníky, dodavatele, uzavřete smlouvy, začnete vyrábět a dodávat. Určitě na poprvé nebudete skvělí, ale vyděláte první peníze, dostanete nové nápady a začnete zlepšovat, co již máte. Když si ty nejdůležitější myšlenky, postupy, výsledky zapíšete, máte firmu připravenou podle ISO 9001. 

Kvóty auditu
Mapa procesů
Koš - barva neshoda?
Diskriminace ISO
Formální strategie