• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Normy v IT – ČSN ISO/IEC 27000

Tomáš Jirásko
14. 7. 2015
| Články

V oblasti ICT se setkáváme s řadou norem, jejichž označení lidem, kteří s nimi nepracují, mnoho neříká. I když je plnění normy a certifikace považována za konkurenční výhodu a často i povinnost, máme i v případě těch nejznámějších velmi mlhavou představu, jaké oblasti se dotýkají. Proto jsme ve spolupráci s ÚNMZ připravili stručné shrnutí hlavních oblastí.
Náš text si nebere za cíl v tomto okamžiku detailně popisovat jednotlivé normy (k těm se ještě vrátíme), ale měl by poskytnout lidem, kteří s normami nepřicházejí často do styku rychlou orientaci, čeho se týkají. Jde tedy o jakýsi “tahák” na základě nejčastějších dotazů.

Nejvíce odkazovanou a využívanou v oblasti ICT je norma ČSN ISO/IEC 27000 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník.

ČSN ISO/IEC 27000 poskytuje přehled systémů řízení bezpečnosti informací (ISMS), a termíny a definice obecně používané v řadě norem ISMS (Information Security Management System). Tato mezinárodní norma je použitelná pro všechny typy a velikosti organizací (například pro vládní úřady, obchodní podniky i neziskové organizace).

Řada mezinárodních norem pro systémy řízení (ISMS. Toto označení se poprvé objevuje v normě ISO/IEC 17799) poskytuje model určený k využití při vytváření a provozování systému řízení. Tento model obsahuje rysy, u kterých experti v daném oboru dosáhli shody, pokud jde o poslední stav mezinárodního vývoje. ISO udržuje komisi expertů, která se věnuje vývoji mezinárodních norem systémů řízení bezpečnosti informací, nazývaných také řada norem Systém řízení bezpečnosti informací – Information Security Management System (ISMS).

Organizace mohou použitím řady norem ISMS vyvinout a implementovat rámec pro řízení bezpečnosti svých informačních aktiv zahrnujících finanční informace, duševní vlastnictví a podrobnosti o zaměstnancích, nebo informace, které jim byly svěřeny zákazníky nebo třetími stranami. Tyto normy mohou být také použity pro přípravu na nezávislé posouzení jejich ISMS, týkající se ochrany informací.

ČSN ISO/IEC 27001 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
Obecné shrnutí ČSN ISO/IEC 27001 a ČSN ISO/IEC 27002.
1) Původní normy ISO/IEC 27001 a ISO/IEC 27002 se staly základním kamenem pro vytvoření bezpečných IS.
2) Jsou od nich odvozeny prakticky všechny zásadní postupy při vytváření a hodnocení bezpečnosti IS.
3) Sjednocují pohled na bezpečnost v mezinárodním měřítku a díky certifikacím podle ISO/IEC 27001 umožňují snadné ověření stavu bezpečnosti výměny informací spolupracujících institucí nebo obchodních partnerů.
4) Norma ISO/IEC 27002 je návodem, jak realizovat požadavky normy ISO/IEC 27001 a je tedy velmi důležitá pro bezpečnostní praxi.
5) Současné české certifikační autority hodnotí stav bezpečnosti IS podle aktuálně platné normy. Pokud by revidovaná norma nebyla vydána, neměly by žádný platný český standard pro hodnocení a musely by certifikační audity provádět podle originálních ISO norem vydaných v angličtině.
6) Poslední a patrně nejdůležitější argument je ten, že současně platné a připravované zákony, které se týkají informační bezpečnosti (např. zákon o kybernetické bezpečnosti, analýzy bezpečnosti IS státu, prováděné NBÚ a mnoho dalších) primárně vycházejí z ISO/IEC řady 27000. Řada ISO/IEC 27000 je klíčovou pro bezpečnost informací státu.
7) Tato mezinárodní norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu rizik činnosti organizace. Zahrnuje také požadavky na posouzení a ošetření rizik bezpečnosti informací, přizpůsobené potřebám organizace.
8) Požadavky této mezinárodní normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.

Zmíněná norma byla připravena, aby poskytla požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací, kdy je přijetí systému řízení bezpečnosti informací pro organizaci strategickým rozhodnutím. Ustavení a implementace systému řízení bezpečnosti informací organizace jsou ovlivněny potřebami a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně budou v čase měnit.
Systém řízení bezpečnosti informací zachovává důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dává jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.

Je důležité, že systém řízení bezpečnosti informací je součástí procesů a celkové struktury řízení organizace a je do nich integrován. Je také důležité, že bezpečnost informací je zvažována při návrhu procesů, informačních systémů a opatření. Očekává se, že implementace systému řízení bezpečnosti informací bude nastavena v souladu s potřebami organizace.
Tato mezinárodní norma může být použita interními a externími stranami k posouzení schopnosti organizace splnit její vlastní požadavky bezpečnosti informací.

ČSN ISO/IEC 27002 Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
Obecně k ČSN ISO/IEC 27001 i ČSN ISO/IEC 27002.
1) Původní normy ISO/IEC 27001 a ISO/IEC 27002 se staly základním kamenem pro vytvoření bezpečných IS.
2) Jsou od nich odvozeny prakticky všechny zásadní postupy při vytváření a hodnocení bezpečnosti IS.
3) Sjednocují pohled na bezpečnost v mezinárodním měřítku a díky certifikacím podle ISO/IEC 27001 umožňují snadné ověření stavu bezpečnosti výměny informací spolupracujících institucí nebo obchodních partnerů.
4) Norma ISO/IEC 27002 je návodem, jak realizovat požadavky normy ISO/IEC 27001 a je tedy velmi důležitá pro bezpečnostní praxi.
5) Současné české certifikační autority hodnotí stav bezpečnosti IS podle aktuálně platné normy. Pokud by revidovaná norma nebyla vydána, neměly by žádný platný český standard pro hodnocení a musely by certifikační audity provádět podle originálních ISO norem vydaných v angličtině.
6) Poslední a patrně nejdůležitější argument je ten, že současně platné a připravované zákony, které se týkají informační bezpečnosti (např. zákon o kybernetické bezpečnosti, analýzy bezpečnosti IS státu, prováděné NBÚ a mnoho dalších) primárně vycházejí z ISO/IEC řady 27000. Řada ISO/IEC 27000 je klíčovou pro bezpečnost informací státu.
7) Tato mezinárodní norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu rizik činnosti organizace. Zahrnuje také požadavky na posouzení a ošetření rizik bezpečnosti informací, přizpůsobené potřebám organizace.
8) Požadavky této mezinárodní normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.

Tato mezinárodní norma je určena pro organizace k použití jako doporučení pro výběr opatření v rámci procesu zavádění systému řízení bezpečnosti informací (ISMS), založeného na normě ISO/IEC 27001, nebo jako pokyny pro organizace, implementující obecně přijatá opatření bezpečnosti informací. Tato norma je rovněž určena pro použití při vyvíjení směrnic pro řízení bezpečnosti informací specifických pro průmysl a organizace, s přihlédnutím k jejich konkrétnímu prostředí rizik pro bezpečnost informací.

Bezpečnost informací je dosažena zavedením vhodné sady opatření, včetně politik, procesů, postupů, organizačních struktur a softwarových a hardwarových funkcí. Tato opatření je třeba stanovit, implementovat, monitorovat, přezkoumávat a zlepšovat tam, kde je to nutné, aby bylo zajištěno, že jsou splněny specifické cíle bezpečnosti a podnikatelské činnosti organizace. Systém ISMS, jako například systém specifikovaný v ISO/IEC 27001, používá holistický, koordinovaný pohled na rizika bezpečnosti informací organizace s cílem implementovat komplexní sadu opatření bezpečnosti informací v celkovém rámci uceleného systému řízení.

Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné ve smyslu normy ISO/IEC 27001 a této normy. Bezpečnost, které může být dosaženo technickými prostředky, je omezená a měla by být podporována vhodným řízením a postupy. Identifikace opatření, která by měla být zavedena, vyžaduje pečlivé plánování a věnování pozornosti detailům. Úspěšný systém ISMS vyžaduje podporu ze strany všech zaměstnanců organizace. To může také vyžadovat účast akcionářů, dodavatelů či jiných externích stran. Může také být potřeba poradenství specialisty z externích stran.

V obecnějším smyslu efektivní bezpečnost informací také zaručuje vedení a dalším zúčastněným stranám, že aktiva organizace jsou rozumně zabezpečena a chráněna proti poškozením, a tím působí jako faktor podporující podnikatelskou činnost.

Zatímco tato norma poskytuje návod pro širokou škálu opatření v oblasti bezpečnosti informací, která se běžně uplatňují v mnoha různých organizacích, zbývající normy v rodině norem ISO/IEC 27000 poskytují doplňující doporučení či požadavky týkající se dalších aspektů celkového procesu řízení bezpečnosti informací.
Organizace všech typů a velikostí (včetně veřejného a soukromého sektoru, komerčních a neziskových) shromažďují, zpracovávají, uchovávají a předávají informace v mnoha formách, včetně elektronické, fyzické a verbální (například rozhovory a prezentace).

Hodnota informací přesahuje napsaná slova, čísla a obrázky: znalosti, koncepty, nápady a značky jsou příklady nehmotných forem informací. V navzájem propojeném světě jsou informace a související procesy, systémy, sítě a pracovníci podílející se na jejich činnosti, nakládání s nimi a ochraně aktiva, která jsou, stejně jako jiná významná obchodní aktiva, cenná pro podnikání organizace, a proto si zaslouží nebo vyžadují ochranu proti různým rizikům.

Aktiva jsou vystavena jak úmyslným tak neúmyslným hrozbám, zatímco související procesy, systémy, sítě a lidé mají vlastní zranitelnosti. Změny obchodních procesů a systémů nebo jiné vnější změny (například nové zákony a předpisy), mohou vytvářet nová rizika bezpečnosti informací. Proto, vzhledem k množství způsobů, kterými mohou hrozby zneužít zranitelnosti k poškození organizace, jsou rizika bezpečnosti informací vždy přítomna. Efektivní bezpečnost informací snižuje tato rizika tím, že chrání organizaci před hrozbami a zranitelnostmi, a omezuje tedy dopady na její aktiva.

Přístě se podíváme na ČSN EN ISO 9000/9001 a normy v oblasti biometriky.

Ve spolupráci s Ing. Miroslavem Škopem
ÚNMZ – Oddělení elektrotechniky

Rubriky: Podnikový softwarePrávoVeřejná správa

Související příspěvky

Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

10. 7. 2025
Zprávičky

Vláda zakázala používat ve státní správě produkty čínské společnosti DeepSeek

9. 7. 2025
Vláda zavede sedmiprocentní digitální daň pro internetové giganty
Zprávičky

Při kyberútoku v Nemocnici Nymburk mohly uniknout osobní údaje pacientů

9. 7. 2025
Zprávičky

Kyberpodvodnice z Ostravska dostala 8,5 roku za krádež 16 milionů Kč

9. 7. 2025

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

Kryptoměny a jejich ekonomika

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

ČTK
11. 7. 2025

Cena bitcoinu dnes pokračuje v prudkém růstu. Kolem 8:30 SELČ se vyšplhala na další

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

ČTK
11. 7. 2025

Hackeři v rámci rozsáhlého kybernetického útoku z minulého týdne ukradli data 5,7 milionu zákazníků

Meta lákala zaměstnance OpenAI na bonus ve výši 100 milionů dolarů

Muskova společnost xAI představila novou verzi chatbota Grok 4

ČTK
11. 7. 2025

Americká společnost xAI miliardáře Elona Muska představila nový model chatbota Grok 4. Ten má

Sophos představil XDR řešení pro synchronizované zabezpečení

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

ČTK
10. 7. 2025

Ministerstvo vnitra odhalilo kybernetický útok na jeden ze systémů úřadu, oznámil dnes na tiskové

Český T-Mobile vyčleňuje vysílače do samostatné firmy

Na Slovensku skončila největší elektronická aukce mobilních frekvencí

ČTK
10. 7. 2025

Na Slovensku včera skončila největší elektronická aukce mobilních frekvencí v historii země. Vynesla rekordní

Vláda zakázala používat ve státní správě produkty čínské společnosti DeepSeek

ČTK
9. 7. 2025

Vláda zakázala používat ve státní správě jakékoli produkty čínské společnosti DeepSeek. Rozhodla tak na

Nvidia jako první firma na burze dosáhla tržní hodnoty 4 bilionů dolarů

ČTK
9. 7. 2025

Americký výrobce čipů Nvidia se stal celosvětově první firmou s akciemi na burze, jejíž

Vláda zavede sedmiprocentní digitální daň pro internetové giganty

Při kyberútoku v Nemocnici Nymburk mohly uniknout osobní údaje pacientů

ČTK
9. 7. 2025

Při kyberútoku v Nemocnici Nymburk z minulého týdne mohly uniknout osobní údaje pacientů. Zda

Tiskové zprávy

Společnost QNAP představuje myQNAPcloud One Beta

Acer slaví několikanásobné ocenění cenou Red Dot Product Design Awards 2025

Acer for Business EMEA překonává růst trhu

Nejnovější modely Acer Chromebook Plus nyní s 12měsíčním balíčkem Google AI Pro včetně služby NotebookLM zdarma

ANECT mění vedení společnosti a posiluje management

Optimize by Acer: nejnovější evoluce v oblasti podnikových záručních podmínek

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Kalendář

Zář 22
22. září @ 8:00 - 26. září @ 17:00

EMO Hannover 2025

Říj 1
Celý den

Cyber Attacks

Říj 21
Celý den

Bezpečnosť a dostupnosť dát

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Slovník

Běžný výnos

Reklamační oddělení

Domácnost

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Střevní mikrobiom mohl ovlivnit i růst mozku předků člověka
  • 3I/ATLAS: Mezihvězdný objekt je možná nejstarší kometou, kterou jsme kdy spatřili
  • Úpadek vědy a konec civilizací

RSS AbcLinuxu RSS

  • Počítačová hra DOGWALK
  • AI řešení náboru pracovníku pro McDonald's mělo přihlašovací jméno 123456 a heslo 123456
  • Visual Studio Code a VSCodium 1.102
Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.