Certifikace systému řízení bezpečnosti informací
| Kriteriální norma | ČSN EN ISO/IEC 27001:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky
(Nové vydání ISO/IEC 27001:2022 – převod na tuto novou normu je stanoven do 31.10.2024) |
| Návod k aplikaci | ČSN ISO/IEC 27002:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření bezpečnosti informací |
| Související normy a specifikace (doporučená) řešení |
ČSN ISO/IEC 27000:2020 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ČSN ISO/IEC 27003:2018 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Pokyny
ČSN ISO/IEC 27004:2018 Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Monitorování, měření, analýza a hodnocení ČSN ISO/IEC 27006:2021 Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací ČSN ISO/IEC 27007:2020 Informační technologie, kybernetická bezpečnost a ochrana soukromí – Směrnice pro audit systémů řízení bezpečnosti informací
ČSN ISO/IEC 27032:2013 Informační technologie – Bezpečnostní techniky – Směrnice pro kybernetickou bezpečnost
ČSN EN ISO/IEC 29147:2020 Informační technologie – Bezpečnostní techniky – Odhalování zranitelnosti
ČSN ISO/IEC 29151:2018 Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací
ČSN ISO/IEC 27033-1 až 6 Informační technologie – Bezpečnostní techniky – Bezpečnost sítě Část 1 až 6
|
| Charakteristika systému managementu | Systém specifikuje požadavky na ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování dokumentovaného systému řízení bezpečnosti informací v kontextu celkových řízení činností organizace. Návrh a zavedení systému v organizaci je podmíněno potřebami a cíli činností (business), požadavky na bezpečnost, dále pak používanými procesy a velikostí a strukturou organizace. Systém stanovuje konkrétní požadavky na zavedení bezpečnostních opatření s možností úpravy podle potřeb jednotlivých organizací nebo jejich částí. Systém řízení bezpečnosti informací je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření chránící informační aktiva a poskytl odpovídající jistotu zainteresovaným stranám. Požadavky jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností. |
| Výhody při zavedení a certifikaci | Systém řízení bezpečnosti informací je aplikovatelný na jakýkoliv druh informací vedených na libovolném nosiči dat. Systém umožňuje v souladu s požadavky organizace a příslušnými právními předpisy:
|