ISO/IEC 27001:2013 ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements byla naposledy revidována 1. října 2013. První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002. Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí. Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rzsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci. Mezi hlavní aspekty této části normy, které pokrývá, patří: harmonizace s normami pro další systémy řízení kontinuální zajištění procesu zlepšování řízení bezpečnosti informací celopodnikové řízení zajištění souladu s právními a regulatorními předpisy záruky za bezpečnost informací zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci. Plánuj Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. Vymezení rozsahu ISMS Definování politiky ISMS Určení systematického přístupu k hodnocení rizik Identifikace rizik Analýza a vyhodnocení rizik Identifikace a vyhodnocení variant pro zvládání rizik Výběr cílů opatření a jednotlivých opatření pro zvládání rizik Získaní souhlasu vedení se zbytkovými riziky Získání souhlasu vedení k zavedení a provozu ISMS Příprava Prohlášení o aplikovatelnosti (SoA) Dělej Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur. Formulace Plánu zvládání rizik (RTP) Implementace Plánu zvládání rizik Implementace bezpečnostních opatření Určení postupů pro měření účinnosti zavedených opatření Implementace školení a vzdělávacích programů Řízení provozu ISMS Řízení zdrojů ISMS Implementace procedur pro zjištění/reakci na bezpečnostní incidenty Kontroluj Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení. Provedení monitorovacích procedur Provedení pravidelných přezkoumání účinnosti ISMS Měření účinnosti zavedených opatření Přezkoumání úrovně zbytkového a akceptovatelného rizika Provedení interního auditu ISMS Pravidelná analýza řízení ISMS Aktualizace bezpečnostních plánů Zaznamenání činností a událostí s vlivem na ISMS Jednej Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS. Implementace identifikovaných zlepšení ISMS Provedení nápravných a preventivních akcí Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami Zajištění zlepšování dosažených cílů Článek ISO/IEC 27001 se nejdříve objevil na Risk Analysis Consultants.