ISO/IEC 27001:2013 ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements byla naposledy revidována 1. října 2013. První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002. Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí. Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rzsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci. Mezi hlavní aspekty této části normy, které pokrývá, patří: harmonizace s normami pro další systémy řízení kontinuální zajištění procesu zlepšování řízení bezpečnosti informací celopodnikové řízení zajištění souladu s právními a regulatorními předpisy záruky za bezpečnost informací zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci. Plánuj Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. Vymezení rozsahu ISMS Definování politiky ISMS Určení systematického přístupu k hodnocení rizik Identifikace rizik Analýza a vyhodnocení rizik Identifikace a vyhodnocení variant pro zvládání rizik Výběr cílů opatření a jednotlivých opatření pro zvládání rizik Získaní souhlasu vedení se zbytkovými riziky Získání souhlasu vedení k zavedení a provozu ISMS Příprava Prohlášení o aplikovatelnosti (SoA) Dělej Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur. Formulace Plánu zvládání rizik (RTP) Implementace Plánu zvládání rizik Implementace bezpečnostních opatření Určení postupů pro měření účinnosti zavedených opatření Implementace školení a vzdělávacích programů Řízení provozu ISMS Řízení zdrojů ISMS Implementace procedur pro zjištění/reakci na bezpečnostní incidenty Kontroluj Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení. Provedení monitorovacích procedur Provedení pravidelných přezkoumání účinnosti ISMS Měření účinnosti zavedených opatření Přezkoumání úrovně zbytkového a akceptovatelného rizika Provedení interního auditu ISMS Pravidelná analýza řízení ISMS Aktualizace bezpečnostních plánů Zaznamenání činností a událostí s vlivem na ISMS Jednej Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS. Implementace identifikovaných zlepšení ISMS Provedení nápravných a preventivních akcí Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami Zajištění zlepšování dosažených cílů Článek ISO/IEC 27001 se nejdříve objevil na Risk Analysis Consultants.
V říjnu 2022 vyšla nová verze normy ISO/IEC 27001:2022 s přechodovým obdobím do 31. 10. 2025
projít na článekV říjnu 2022 vyšla nová verze normy ISO/IEC 27001:2022 s přechodovým obdobím do 31. 10. 2025. Požadavky na přechodové období byly v březnu upraveny.
projít na článekV říjnu 2013 vyšla nová verze normy ISO/IEC 27001:2013 Od kdy bude revize povinně uplatňována? Každá revize norem řady ISO má stanovené přechodové období. Pro tuto normu bylo stanoveno dvouleté přechodové období od 1. 10. 2013. Jednotlivé organizace – c
projít na článekISO/IEC 27003:2017 ISO/IEC 27003:2017 Information technology Security techniques Information security management system — Guidance byla oficiálně publikována v únoru roku 2010. Norma obsahuje především návod k implementaci ostatních norem série 27000 a
projít na článekISO/IEC 27015 Norma ISO/IEC 27015 Information technology Security techniques Information security management systems guidelines for financial and insurance sectors poskytuje doporučení pro finanční instituce. Norma doplňuje ISO TR 13569 Banking Informat
projít na článek