ISMS

Certifikace systému řízení bezpečnosti informací

Kriteriální norma ČSN EN ISO/IEC 27001:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky

(Nové vydání ISO/IEC 27001:2022 – převod na tuto novou normu je stanoven do 31.10.2024)

Návod k aplikaci ČSN ISO/IEC 27002:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření bezpečnosti informací
Související normy a specifikace (doporučená) řešení
ČSN ISO/IEC 27000:2020 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ČSN ISO/IEC 27003:2018 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Pokyny
ČSN ISO/IEC 27004:2018 Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Monitorování, měření, analýza a hodnocení
ČSN ISO/IEC 27006:2021 Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
ČSN ISO/IEC 27007:2020 Informační technologie, kybernetická bezpečnost a ochrana soukromí – Směrnice pro audit systémů řízení bezpečnosti informací
ČSN EN ISO/IEC 29147:2020 Informační technologie – Bezpečnostní techniky – Odhalování zranitelnosti
ČSN ISO/IEC 29151:2018 Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací
ČSN ISO/IEC 27033-1 až 6 Informační technologie – Bezpečnostní techniky – Bezpečnost sítě Část 1 až 6
Charakteristika systému managementu Systém specifikuje požadavky na ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování dokumentovaného systému řízení bezpečnosti informací v kontextu celkových řízení činností organizace. Návrh a zavedení systému v organizaci je podmíněno potřebami a cíli činností (business), požadavky na bezpečnost, dále pak používanými procesy a velikostí a strukturou organizace.
Systém stanovuje konkrétní požadavky na zavedení bezpečnostních opatření s možností úpravy podle potřeb jednotlivých organizací nebo jejich částí.
Systém řízení bezpečnosti informací je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření chránící informační aktiva a poskytl odpovídající jistotu zainteresovaným stranám.
Požadavky jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.
Výhody při zavedení a certifikaci Systém řízení bezpečnosti informací je aplikovatelný na jakýkoliv druh informací vedených na libovolném nosiči dat. Systém umožňuje v souladu s požadavky organizace a příslušnými právními předpisy:

  • definovat politiku, cíle  a hranice systému,
  • identifikovat informační aktiva a přístup k nim,
  • identifikovat hrozby pro tato aktiva,
  • specifikovat  a zavést řízení rizik bezpečnosti informací,
  • předcházet ztrátě, poškození nebo krádeži aktiv,
  • zajistit fyzickou  bezpečnost a bezpečnost prostředí,
  • zavést postupy pro  rychlou detekci a  reakci na bezpečnostní incidenty,
  • zavést bezpečnostní opatření,
  • zavést programy školení a informovanost zaměstnanců,
  • monitorovat a přezkoumávat účinnost zavedeného systému.