Andrea Giesler | 3. června 2019

Norma ISO 27001 nabízí požadavky a struktura, která bude poskytovat vodítko při zavádění systému řízení bezpečnosti informací (ISMS). Jako systém managementu je ISO 27001 založena na neustálém zlepšování – v tomto článku se dozvíte více o tom, jak se to odráží v požadavcích a struktuře ISO 27001.

Dvě hlavní části normy

Norma je rozdělena na dvě části. První hlavní část se skládá z 11 vět (0 až 10). Druhá část, nazvaná Příloha A, poskytuje vodítko pro 114 kontrolních cílů a kontrol. Články 0 až 3 (Úvod, Předmět, Normativní odkazy, Podmínky a definice) stanoví zavedení normy ISO 27001. Následující odstavce 4 až 10, které stanoví požadavky ISO 27001, které jsou povinné, pokud chce společnost vyhovět této normě, jsou podrobněji prozkoumány dále v tomto článku.

Příloha A normy podporuje doložky a jejich požadavky se seznamem kontrol, které nejsou povinné, ale které jsou vybírány jako součást procesu řízení rizik. Další informace najdete v článku Základní logika ISO 27001: Jak funguje zabezpečení informací?

Kapitola 4: Kontext organizace

Jedním z předpokladů úspěšné implementace systému řízení bezpečnosti informací je porozumění kontextu organizace. Je třeba identifikovat a zvážit vnější a vnitřní problémy i zúčastněné strany. Požadavky mohou zahrnovat regulační problémy, ale mohou jít i mnohem dál.

S ohledem na to musí organizace definovat rozsah ISMS. Jak intenzivně bude společnost ISO 27001 aplikována?

Přečtěte si více o kontextu organizace v článcích Jak definovat kontext organizace podle ISO 27001, Jak identifikovat zúčastněné strany podle ISO 27001 a ISO 22301 a Jak definovat rozsah ISMS.

Kapitola 5: Vedení

Požadavky ISO 27001 na odpovídající vedení jsou rozmanité. Závazek vrcholového vedení je pro systém řízení povinný. Cíle je třeba stanovit podle strategických cílů organizace. Poskytování zdrojů potřebných pro ISMS a podpora osob přispívajících do ISMS jsou dalšími příklady povinností, které je třeba splnit.

Dále musí vrcholový management zavést politiku v souladu s informační bezpečností. Tato politika by měla být zdokumentována a měla by být sdělena v rámci organizace a zúčastněným stranám.

Je třeba také přiřadit role a odpovědnosti, aby byly splněny požadavky normy ISO 27001 a aby byly podány zprávy o výkon ISMS.

Více informací o vrcholovém managementu v ISO 27001 se dozvíte v těchto článcích: Perspektiva vrcholového managementu implementace informační bezpečnosti, Úlohy a odpovědnosti vrcholového managementu v ISO 27001 a ISO 22301 a Co byste měli napsat do své politiky zabezpečení informací podle ISO 27001?

Kapitola 6: Plánování

Plánování v prostředí ISMS by mělo vždy zohledňovat rizika a příležitosti. Posouzení rizik informační bezpečnosti poskytuje spolehlivý základ, na který se můžete spolehnout. Cíle bezpečnosti informací by proto měly být založeny na posouzení rizik. Tyto cíle je třeba sladit s celkovými cíli společnosti. Cíle je navíc třeba ve společnosti prosazovat. Poskytují bezpečnostní cíle, na kterých se musí snažit všichni v rámci společnosti a jsou v souladu se společností. Z hodnocení rizik a bezpečnostních cílů je odvozen plán léčby rizik založený na kontrolách uvedených v příloze A.

Pro lepší pochopení rizik a příležitostí si přečtěte článek ISO 27001 posouzení rizik & léčba – 6 základních kroků. Další informace o kontrolních cílech se dozvíte v článku Kontrolní cíle ISO 27001 – Proč jsou důležité? Další informace o směřování společnosti najdete v článku Sladění informační bezpečnosti se strategickým vedením společnosti podle ISO 27001.

Kapitola 7: Podpora

Zdroje, kompetence zaměstnanců, povědomí a komunikace jsou klíčové otázky podpory věci. Dalším požadavkem je dokumentování informací podle ISO 27001. Informace je třeba dokumentovat, vytvářet a aktualizovat a také je kontrolovat. Je třeba udržovat vhodnou sadu dokumentace, aby se podpořil úspěch ISMS.

Další informace o školení, povědomí a komunikaci naleznete v článcích Jak provádět školení & povědomí o ISO 27001 a ISO 22301 a jak vytvořit komunikační plán podle podle ISO 27001. Další informace o správě dokumentů naleznete v článku Správa dokumentů v ISO 27001 & BS 25999-2.

Kapitola 8: Provoz

Procesy jsou povinné pro implementaci bezpečnosti informací. Tyto procesy je třeba plánovat, implementovat a kontrolovat. Hodnocení rizik a léčba – na které musí mít mysl nejvyššího managementu, jak jsme se již dříve dozvěděli, je nutné provést.

Více o hodnocení rizik a léčbě se dozvíte v článcích Hodnocení rizika ISO 27001: Jak porovnejte aktiva, hrozby a zranitelná místa a Jak posoudit důsledky a pravděpodobnost v analýze rizik podle ISO 27001 a v tomto bezplatném diagramu procesu hodnocení a léčby rizik podle ISO 27001: 2013.

Kapitola 9: Hodnocení výkonu

Požadavky normy ISO 27001 předpokládají monitorování, měření, analýzu a hodnocení systému řízení bezpečnosti informací. Nejen, že by oddělení mělo kontrolovat svou práci – navíc je třeba provádět interní audity. V stanovených intervalech musí vrcholový management zkontrolovat ISMS organizace.

Další informace o výkonu, monitorování a měření naleznete v článcích Klíčové ukazatele výkonu pro ISO 27001 ISMS a Jak provádět monitorování a měření v ISO 27001.

Kapitola 10: Vylepšení

Vylepšení navazuje na hodnocení. Nesrovnalosti je třeba řešit přijetím opatření a případně odstraněním příčin. Kromě toho by měl být implementován proces neustálého zlepšování, i když cyklus PDCA (Plan-Do-Check-Act) již není povinný (přečtěte si o tom více v článku Byl cyklus PDCA odstraněn z nových norem ISO? Přesto, často se doporučuje cyklus PDCA, protože nabízí pevnou strukturu a splňuje požadavky normy ISO 27001.

Další informace o zdokonalení normy ISO 27001 najdete v článku Dosažení neustálého zlepšování pomocí modelů zralosti.

Příloha A (normativní) Referenční kontrolní cíle a kontroly

Příloha A je užitečným seznamem referenčních kontrolních cílů a kontrol. Počínaje A.5 Zásadami bezpečnosti informací prostřednictvím A.18 Soulad, seznam nabízí ovládací prvky, kterými lze splnit požadavky normy ISO 27001, a lze odvodit strukturu ISMS. Je třeba zvážit a implementovat kontroly identifikované prostřednictvím výše popsaného posouzení rizik.

Pro více o příloze A, přečtěte si články Stručný průvodce ISO Ovládací prvky 27001 z přílohy A a Jak strukturovat dokumenty pro ovládací prvky ISO 27001 přílohy A.

Požadavky ISMS

Implementace a samotná norma se na první pohled mohou zdát náročné nebo komplikované , protože některé požadavky pro vás nemusí znít logicky. Ale díky hlubšímu poznání věci věci zapadnou na místo a člověk si začne vážit komplexnosti, kterou implementace ISO 27001 přináší do bezpečnosti. Brzy poté, co dosáhnete souladu s předpisy, si jistě uvědomíte, že vám norma nabízí strukturované pokyny, a budete spokojeni s vaším rozhodnutím o implementaci.

Chcete-li se dozvědět více o požadavcích ISO 27001, stáhněte si tento bezplatný Clause-by Vysvětlení klauzule ISO 27001.

Zde se můžete dozvědět, jak podrobné by měly být dokumenty ISO 27001?

Pro osoby s rozhodovací pravomocí ve světě startupů , důrazně doporučujeme přečíst si, proč by měli investovat do ISO 27001 a jak může implementace poskytnout společnosti podporu.

O autorovi:

Andrea Giesler je interním auditorem se sídlem v německém Kolíně nad Rýnem se specializací na oblasti ISO 27001, ISO 9001 a EU GDPR. Je certifikovaným auditorem informačních systémů (CISA) a je certifikována organizací ISACA v oblasti řízení rizik a informačních systémů (CRISC).