ČSN ISO/IEC 27001: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky

Datum vydání - říjen 2006 

Účinnost normy - 1. listopad 2006

Britská norma BS 7799-2 byla přijata v roce 2005 Mezinárodní organizací pro normalizaci pod názvem "ISO/IEC 27001:2005 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky". Norma poskytuje doporučení jak aplikovat vybraná opatření ISO/IEC 17799:2005 (v budoucnosti pod označením ISO/IEC 27002) v rámci procesu ustavení, provozu, údržby a zlepšování systému managementu bezpečnosti informací tzv. ISMS (Information Security Management Systém) v organizaci.

Norma prosazuje přijetí procesního přístupu k řešení ISMS. Zavádí známý model PDCA (Plánuj-Dělej-Kontroluj-Jednej v anglické verzi se jedná o Plan-Do-Check-Act). PDCA je aplikovatelný  na všechny procesy ISMS tak, jak jsou definovány v normě. Řídí bezpečnost přístupu k informacím nejen v IT systémech, ale jakéhokoliv přístupu, tedy i k fyzického (ke složkám s papírovými dokumenty apod.). Norma je propojena a harmonizována s normami:

tak, aby bylo podpořeno jejich jednotné zavedení a provozování. V hlavní části normy jsou specifikovány požadavky na:

  • vybudování
  • zavedení
  • provoz
  • monitorování
  • přezkoumání
  • udržování
  • zlepšování
  • a případnou certifikaci dokumentovaného systému managementu bezpečnosti informací.

Jsou zde i požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva organizace. V příloze A jsou uvedeny cíle opatření a jednotlivá opatření, která jsou přímo propojena s cíly a opatřeními uvedenými v ISO/IEC 17799:2005.

V příloze B je popsán vztah mezi principy OECD pro bezpečnost informačních systémů a sítí a fázemi PDCA cyklu.

V příloze C je uveden vztah mezi ISO/IEC 9001:2000, ISO/IEC 14001:2004 a ISO/IEC 27001:2005.