Normy pro bezpečnost informací - přehled

OBSAH

• Normy bezpečnosti informací - přehledný seznam
• Certifikace je konkurenční výhodou
• Deset norem ISO v oblasti bezpečnosti informací, které byste měli znát
• Další témata z rodiny norem ISO 2700x
• DQS - Co pro vás můžeme udělat

Normy pro bezpečnost informací: Rodina norem ISO 2700X

Jednotlivé normy pro bezpečnost informací řady ISO 2700x se zabývají různými tématy v oblasti bezpečnosti informací. Tato mezinárodní norma specifikuje např. ISO 27001 Systém řízení bezpečnosti informací (ISMS), ISO 27701 systém řízení ochrany údajů, norma ISO 27017 poskytuje pokyny pro opatření v oblasti bezpečnosti informací pro cloud computing a norma ISO 27005 poskytuje pokyny pro řízení rizik v oblasti bezpečnosti informací.

Systematicky strukturovaný přístup těchto norem pro bezpečnost informací mohou využívat společnosti ve všech odvětvích. Umožňuje chránit důvěrná data před ztrátou a zneužitím a pomáhá spolehlivě identifikovat a omezit (potenciální) hrozby. Tento přístup pomáhá zajistit dostupnost podnikových informačních systémů a přispívá tak k optimalizaci podnikových procesů, nákladů na IT a procesů a k minimalizaci obchodních a odpovědnostních rizik.

Certifikace je konkurenční výhodou

Certifikace podle normy ISO 27001, například společností DQS, vyžaduje určitou přípravu a úsilí. Společnost však poskytuje zdokumentovaný důkaz, že dodržuje požadavky na bezpečnost informací a zavádí opatření na ochranu citlivých firemních dat. To je jasná konkurenční výhoda.

Deset norem ISO týkajících se bezpečnosti informací, které byste měli znát

Níže uvedený seznam poskytuje informativní přehled o současném stavu norem řady ISO 2700x v oblasti bezpečnosti informací. Všechny normy jsou k dispozici ke koupi na webových stránkách ISO.

ISO 27001 - Požadavky na systémy řízení bezpečnosti informací

V době, kdy se s daty a informacemi obchoduje jako se vzácným zbožím, je jejich ochrana nezbytná. Optimální základ pro efektivní implementaci komplexní bezpečnostní strategie poskytuje dobře strukturovaný systém řízení bezpečnosti informací (ISMS) v souladu s normou ISO 27001. Jedná se o mezinárodně uznávanou normu pro bezpečnost informací v soukromých, veřejných nebo neziskových organizacích, která zahrnuje nejen aspekty bezpečnosti IT.

Systém řízení bezpečnosti informací podle normy ISO 27001 definuje požadavky, pravidla a metody pro zajištění bezpečnosti informací, které vyžadují ochranu v organizacích. Norma ISO poskytuje model pro zavedení, implementaci, monitorování a zlepšování úrovně ochrany. Cílem je identifikovat potenciální rizika pro společnost, analyzovat je a učinit je kontrolovatelnými prostřednictvím vhodných opatření. Norma ISO 27001 formuluje požadavky na takový systém řízení, které jsou auditovány v rámci externího certifikačního procesu .

Toho lze dosáhnout pomocí této normy:

• Udělat z bezpečnosti citlivých informací nedílnou součást firemních procesů.
• Preventivní zajištění cílů ochrany důvěrnosti, dostupnosti a integrity informací.
• Udržení kontinuity podnikání prostřednictvím neustálého zlepšování úrovně zabezpečení.
• Senzibilizace zaměstnanců a výrazné zvýšení povědomí o bezpečnosti na všech úrovních společnosti.
• Budování důvěry u zainteresovaných stran
• Zavedení účinného procesu řízení rizik

ISO 27019 - Opatření pro bezpečnost informací v oblasti dodávek energie.

Norma ISO 27019 pro bezpečnost informací formuluje doplňující opatření pro sektor energetiky.

Tato norma pomáhá zabezpečit elektronické systémy řízení procesů používané k řízení a monitorování výroby, přenosu, skladování a distribuce elektrické energie, plynu, ropy a tepla a k řízení souvisejících podpůrných procesů.

Co můžete s touto normou dělat:

• Systematicky zajistit cíle ochrany důvěrnosti, dostupnosti a integrity informací.
• Neustále zvyšovat úroveň zabezpečení a odolnost proti neoprávněnému přístupu.
• Dosáhnout větší bezpečnosti činností a právní jistoty, zlepšit dodržování příslušných požadavků na shodu.
• Zvýšit povědomí o bezpečnosti mezi zaměstnanci a manažery
• Dosáhnout vysoké úrovně důvěry a loajality všech zainteresovaných stran.
• Prokázat uznávaný důkaz o účinnosti vašich bezpečnostních opatření úřadům, jako je například německá Spolková agentura pro sítě (BNetzA).

ISO 27006 - Požadavky na certifikační orgány

Norma ISO 27006 je určena orgánům, jako je DQS, které provádějí certifikaci systémů řízení bezpečnosti informací. Akreditační norma ISO 27006 popisuje požadavky, které musí certifikační orgány dodržovat při posuzování systémů řízení svých klientů podle normy ISO 27001 za účelem certifikace.

Patří sem např. prokázání specifikovaného auditorského úsilí nebo specifikace kvalifikace auditorů. Akreditační procesy uvedené v normě zaručují, že certifikáty ISO 27001 vydané akreditovanými certifikačními orgány mají mezinárodní platnost.

Čeho můžete s touto normou dosáhnout:

• Jednotná kritéria pro postupy certifikačních, dozorových a recertifikačních auditů.
• Zajištění platnosti certifikátů ISO 27001
• Zajištění minimálních požadavků na náročnost auditu a kvalifikaci pracovníků, kteří vypočítávají a provádějí certifikační postupy

ISO 27002 - Pokyny ke kontrolám bezpečnosti informací

Systém řízení bezpečnosti informací (ISMS) podle normy ISO 27001 obsahuje normativní přílohu A: Referenční kontrolní cíle a kontroly. Tato příloha obsahuje konkrétní opatření, která mají být zavedena jako součást systému řízení, podle toho, jak je to pro organizaci relevantní. Norma ISO 27002 je pokyn s doporučeními pro implementaci opatření z normy ISO 27001.

Na začátku roku 2022 byl tento pokyn komplexně revidován a aktualizován. Nové vydání poskytuje vedoucím pracovníkům v oblasti bezpečnosti informací přesné pokyny k provádění, aby se zajistilo, že nebudou opomenuta žádná důležitá opatření k řešení rizik v oblasti bezpečnosti informací.

Co lze provést pomocí této normy:

• Podpora pro implementaci normy ISO 27001
• Zavedení doporučení pro opatření v příloze A normy ISO 27001.

ISO 27000 - Přehled a slovník systémů řízení bezpečnosti informací

Norma ISO 27000 obsahuje termíny a definice, které se používají v řadě norem ISO 2700X. Norma ISO 27000 obsahuje přehled systémů řízení bezpečnosti informací a řady norem ISO 2700x s jejich normami pro bezpečnost informací.

Ve slovníku jsou (technické) termíny definovány explicitně a formálně.

Co můžete s touto normou dělat:

• Glosář: pokrytí většiny technických termínů používaných v řadě norem ISO2700x v oblasti bezpečnosti informací.
• Přehlednost terminologie
• Jasné porozumění slovní zásobě mezi posuzovateli a hodnotiteli ("společný jazyk").
• Přehled systémů řízení bezpečnosti informací: představení bezpečnosti informací, řízení rizik a bezpečnosti a systémů řízení.

ISO 27701 - Pokyny k řízení ochrany údajů

Norma pro bezpečnost informací se konkrétně týká ochrany osobních údajů. ISO 27701 specifikuje systém řízení ochrany údajů založený na normách ISO 27001, ISO 27002 (kontroly bezpečnosti informací) a ISO 29100 (rámec ochrany osobních údajů), aby se vhodně zabýval jak zpracováním osobních údajů, tak bezpečností informací. To platí jak pro správce, tak pro zpracovatele osobních údajů.

Jak můžete s touto normou uspět:

• Lepší správa osobních údajů a bezpečnost informací
• Snadnější aplikace společných zásad řízení informačních rizik na osobní údaje
• Sladění a rozšíření kontrolních mechanismů v rámci normy ISO 27001 i související normy ISO 27002.

ISO 27017 - Průvodce opatřeními pro bezpečnost informací v cloudových službách

Norma ISO 27017 poskytuje v rámci norem pro bezpečnost informací návod k opatřením pro bezpečnost informací v cloud computingu.

Doporučuje, podporuje a poskytuje další opatření pro implementaci kontrol bezpečnosti informací specifických pro cloud.

Čeho lze s touto normou dosáhnout:

• Porozumění aspektům bezpečnosti informací v cloud computingu.
• Navrhnout a zavést kontroly bezpečnosti informací specifické pro cloud
• Kontrolovat možnosti výběru, implementace a správy zabezpečení informací pro cloud computing.

ISO 27018 - Pokyny k ochraně dat v cloudových službách.

Norma ISO 27018 poskytuje návod, jak zajistit, aby poskytovatelé cloudových služeb nabízeli vhodné kontroly bezpečnosti informací, které chrání soukromí klientů jejich zákazníků zabezpečením svěřených osobních údajů.

Na tuto normu navazuje norma ISO 27017 (Opatření pro bezpečnost informací v cloudových službách), která se zabývá jinými aspekty informační bezpečnosti cloud computingu než jen ochranou údajů.

Zde se dozvíte, co můžete s touto normou dělat:

• V rámci zavádění systému řízení bezpečnosti informací v cloud computingu založeného na normě ISO 27001 vyberte kontrolní mechanismy ochrany osobních údajů.
• Implementujte běžně přijímané kontroly ochrany osobních údajů.
• Prohloubit si znalosti, protože norma vychází z normy ISO 27002 a v některých oblastech rozšiřuje její obecné rady.
• Propojení zásad ochrany osobních údajů OECD zakotvených v několika zákonech a nařízeních o ochraně údajů.

ISO 27005 - Pokyny pro řízení rizik v oblasti bezpečnosti informací.

Norma ISO 27005 poskytuje návod k řízení rizik bezpečnosti informací a podporuje obecné koncepty týkající se této problematiky stanovené v normě ISO 27001.

Norma ISO 27005 je rovněž určena k podpoře implementace bezpečnosti informací založené na koncepci řízení rizik.

K tomu vám poslouží tato norma:

• Implementace bezpečnosti informací na základě koncepce řízení rizik.
• Definice kontextu řízení rizik
• Kvantitativní nebo kvalitativní posouzení (tj. identifikace, analýza a vyhodnocení) relevantních informačních rizik.
• Průběžné sledování a přezkoumávání rizik, ošetření rizik, požadavků a kritérií.
• Vhodné nakládání s riziky
• Průběžná komunikace všech zúčastněných stran

ISO 27007 - Průvodce auditem ISMS

Norma ISO 27007 je průvodcem pro provádění auditů a je určena pro interní a externí auditory, kteří posuzují ISMS podle normy ISO/IEC 27001.

Příručka vychází z velké části z Příručky pro auditování systémů řízení (ISO 19011) a poskytuje další pokyny pro systém řízení bezpečnosti informací (ISMS).

Zde se dozvíte, jak můžete s touto normou uspět:

• Příručka speciálně pro audity ISMS podle normy ISO 27001
• Pokyny pro plánování a provádění auditů integrované z normy ISO 19011
• Důležité informace o kompetencích auditorů ISMS
• Pochopení a provádění auditů ISMS

DQS - co pro vás můžeme udělat

Společnost DQS je předním specialistou na certifikaci systémů řízení a procesů již od roku 1985. Od té doby je historie společnosti DQS úzce spjata s historií normy ISO 9001. Své celosvětové know-how a rozsáhlé znalosti norem přinášíme našim zákazníkům při přibližně 30 000 auditních dnech ročně. Můžete se tedy podívat, jaké jsou vaše možnosti.

Důvěra a odborné znalosti

Naše texty a bílé knihy píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Stejně tak přehled standardů informační bezpečnosti. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro autora, neváhejte se na nás obrátit.

Normy informační bezpečnosti: Další témata z rodiny norem ISO 2700X

ISO 27003 - Průvodce vývojem a zaváděním systému řízení bezpečnosti informací (ISMS)

ISO/IEC 27003:2017

Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Návod.

ISO 27004 - Pokyny k metodám měření řízení bezpečnosti informací.

ISO/IEC 27004:2016

Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Monitorování, měření, analýza a hodnocení.

ISO 27008 - Pokyny pro hodnocení opatření v oblasti bezpečnosti informací.

ISO/IEC TS 27008:2019

Informační technologie - Bezpečnostní techniky - Pokyny pro hodnocení kontrol bezpečnosti informací

ISO 27009 - Příručka k aplikaci systému řízení informací pro konkrétní odvětví

ISO/IEC 27009:2020

Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Odvětvově specifická aplikace ISO/IEC 27001 - Požadavky

ISO 27010 - Pokyny k řízení bezpečnosti informací pro meziodvětvovou a meziorganizační komunikaci

ISO/IEC 27010:2015

Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací pro mezisektorovou a meziorganizační komunikaci

ISO 27011 - Pokyny pro řízení bezpečnosti informací v telekomunikačním sektoru

ISO/IEC 27011:2016

Informační technologie - Bezpečnostní techniky - Kodex praxe pro řízení bezpečnosti informací založený na ISO/IEC 27002 pro telekomunikační organizace

ISO 27013 - Pokyny pro integrovanou implementaci ISMS a řízení služeb IT

ISO/IEC 27013:2021

Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Pokyny pro integrovanou implementaci ISO/IEC 27001 a ISO/IEC 20000-1

ISO 27014 - "Řízení" bezpečnosti informací

ISO/IEC 27014:2020

Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Řízení bezpečnosti informací

ISO 27016 - Ekonomika řízení bezpečnosti informací

ISO/IEC TR 27016:2014

Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Ekonomika organizace

ISO 27021 - Požadavky na způsobilost odborníků v oblasti ISMS

ISO/IEC 27021:2017/AMD 1:2021

Techniky - Požadavky na kompetence odborníků na systémy řízení bezpečnosti informací - Změna 1: Přidání článků nebo podčlánků ISO/IEC 27001:2013 k požadavkům na kompetence

ISO 27031 - Pokyny k zajištění kontinuity činností

ISO/IEC 27031:2011

Informační technologie - Bezpečnostní techniky - Pokyny pro připravenost informačních a komunikačních technologií na zajištění kontinuity činností

TIP: Přečtěte si náš příspěvek na blogu o řízení kontinuity podnikání a zjistěte, co doporučuje norma ISO 22301 k zajištění další existence společnosti ve výjimečných situacích.

ISO 27032 - Průvodce kybernetickou bezpečností

ISO/IEC 27032:2012

Informační technologie - Bezpečnostní techniky - Směrnice pro kybernetickou bezpečnost

ISO 27033 - Pokyny k zabezpečení sítí

ISO/IEC 27033

Informační technologie - Bezpečnostní techniky - Bezpečnost sítě
Část 1: Přehled a pojmy, Část 2: Směrnice pro návrh a implementaci bezpečnosti sítí, Část 3: Referenční scénáře sítí -Hrozby, návrhové techniky a otázky kontroly, Část 4: Zabezpečení komunikace mezi sítěmi pomocí bezpečnostních bran, Část 5: Zabezpečení komunikace mezi sítěmi pomocí virtuálních privátních sítí (VPN), Část 6: Zabezpečení bezdrátového přístupu do IP sítí

ISO 27034 - Pokyny pro zabezpečení aplikací

ISO/IEC 27034

Informační technologie - Bezpečnostní techniky - Bezpečnost aplikací
Část 1: Přehled a pojmy, Část 2: Normativní rámec organizace, Část 3: Proces řízení bezpečnosti aplikací, Část 4: Validace a verifikace, Část 5: Datová struktura protokolů a řízení bezpečnosti aplikací, Část 6: Studie odlitků, Část 7: Rámec předpovědi zabezpečení

ISO 27035 - Pokyny pro řízení incidentů v oblasti bezpečnosti informací

ISO/IEC 27035

Informační technologie - Postupy bezpečnosti IT - Řízení incidentů v oblasti bezpečnosti informací
Část 1: Základy řízení incidentů, Část 2: Pokyny pro plánování a přípravu reakce na incidenty, Část 3: Pokyny pro reakci na incidenty v oblasti informačních a komunikačních technologií (návrh)

ISO 27036 - Pokyny pro vztahy s dodavateli

ISO/IEC 27036

Informační technologie - Bezpečnostní techniky - Bezpečnost informací pro dodavatelské vztahy
Část 1: Přehled a pojmy, Část 2: Požadavky, Část 3: Směrnice pro bezpečnost dodavatelského řetězce informačních a komunikačních technologií, Část 4: Směrnice pro bezpečnost cloudových služeb

ISO 27037 - Směrnice pro nakládání s digitálními důkazy.

ISO/IEC 27037:2012

Informační technologie - Bezpečnostní techniky - Směrnice pro identifikaci, shromažďování, získávání a uchovávání digitálních důkazů

ISO 27038 - Specifikace pro redigování digitálních záznamů

ISO/IEC 27038:2014

Informační technologie - Bezpečnostní techniky - Specifikace pro digitální redigování

ISO 27039 - Pokyny pro systémy detekce narušení (IDPS)

ISO/IEC 27039:2015

Informační technologie - Bezpečnostní techniky - Výběr, nasazení a provoz systémů detekce a prevence narušení (IDPS)

ISO 27040 - Pokyny k zabezpečení úložišť

ISO/IEC 27040:2015

Informační technologie - Bezpečnostní techniky - Zabezpečení úložišť

ISO 27041 - Pokyny k metodám vyšetřování incidentů

ISO/IEC 27041:2015

Informační technologie - Bezpečnostní techniky - Pokyny pro zajištění vhodnosti a přiměřenosti metody vyšetřování incidentů

ISO 27042 - Pokyny pro analýzu a interpretaci digitálních důkazů.

ISO/IEC 27042:2015

Informační technologie - Bezpečnostní techniky - Pokyny pro analýzu a interpretaci digitálních důkazů

ISO 27043 - Pokyny k postupům vyšetřování incidentů.

ISO/IEC 27043:2015

Informační technologie - Bezpečnostní techniky - Zásady a procesy vyšetřování incidentů

ISO 27050 - Pokyny k elektronické detekci

ISO/IEC 27050

Informační technologie - Elektronické zjišťování
Část 1: Přehled a pojmy, Část 2: Pokyny pro správu a řízení elektronického zjišťování, Část 3: Kodex praxe pro elektronické zjišťování

ISO 27102 - Pokyny ke kybernetickému pojištění

ISO/IEC 27102:2019

Řízení bezpečnosti informací - Směrnice pro kybernetické pojištění

ISO 27103 - Průvodce kybernetickou bezpečností a normami ISO/IEC

ISO/IEC TR 27103:2018

Informační technologie - Bezpečnostní techniky - Kybernetická bezpečnost a normy ISO a IEC

ISO 27550 - Technika ochrany soukromí pro procesy životního cyklu systému

ISO/IEC TR 27550:2019-09

Informační technologie - Bezpečnostní techniky - Inženýrství ochrany soukromí pro procesy životního cyklu systému

ISO 27799 - Řízení bezpečnosti informací ve zdravotnictví

ISO 27799:2016

Zdravotnická informatika - Řízení bezpečnosti informací ve zdravotnictví s využitím ISO/IEC 27002