Co znamená ISO 27001?
Nejprve je důležité si uvědomit, že celý název ISO 27001 je „ISO / IEC 27001 – Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky. “
Jedná se o přední mezinárodní normu zaměřenou na informační bezpečnost, kterou vydala Mezinárodní organizace pro normalizaci (ISO) ve spolupráci s Mezinárodní elektrotechnickou komisí (IEC). Oba jsou přední mezinárodní organizace, které rozvíjet mezinárodní standardy.
ISO-27001 je součástí souboru norem vyvinutých pro zvládnutí informační bezpečnosti: řady ISO / IEC 27000.
Jaký je účel ISO 27001?
ISO 27001 byla vyvinuta, aby pomohla organizacím jakékoli velikosti nebo průmyslového odvětví chránit jejich informace systematicky a nákladově efektivním způsobem, a to přijetím systému ISMS (Information Security Management System).
Proč je ISO 27001 důležité?
Norma poskytuje nejen doprovod s potřebným know-how pro ochranu jejich nejcennějších informací, ale společnost může také získat certifikát podle ISO 27001 a tímto způsobem dokázat svým zákazníkům a partnerům, že chrání jejich data.
Jednotlivci mohou také získat certifikát ISO 27001 účastí na kurzu a složení zkoušky a tímto způsobem prokázat své dovednosti potenciálním zaměstnavatelům.
Protože se jedná o mezinárodní standard, ISO 27001 je snadno rozpoznatelný po celém světě, což zvyšuje obchodní příležitosti pro organizace a profesionály.
Jaké jsou 3 bezpečnostní cíle ISMS?
Základním cílem ISO 27001 je ochrana tří aspekty informací:
- Důvěrnost: pouze oprávněné osoby mají právo na přístup k informacím.
- Integrita: informace mohou měnit pouze oprávněné osoby.
- Dostupnost: informace musí být přístupné oprávněným osobám, kdykoli je to potřeba.
Co je to ISMS?
Systém ISMS (Information Security Management System) je soubor pravidel, která musí společnost stanovit, aby:
- identifikovala zúčastněné strany a jejich očekávání od společnosti, pokud jde o informační bezpečnost
- určit, která rizika pro informace existují,
- definovat kontroly (ochranná opatření) a další metody zmírňování ke splnění zjištěných očekávání a zvládání rizik, s informační bezpečností
- implementovat všechny kontroly a další metody léčby rizik
- průběžně měřit, zda implementované kontroly fungují podle očekávání
- neustále zlepšovat celý ISMS pracovat lépe
Tato sada pravidel může být zapsána ve formě zásad, postupů a jiných typů dokumentů, nebo může být ve formě zavedených procesů a technologií, které nejsou zdokumentováno. ISO 27001 definuje, které dokumenty jsou požadovány, tj. Které musí existovat minimálně.
Proč potřebujeme ISMS?
Existují čtyři základní obchodní výhody, které společnost může dosáhnout implementací tohoto standardu bezpečnosti informací:
Dodržovat právní požadavky – v souvislosti s bezpečností informací existuje stále větší počet zákonů, předpisů a smluvních požadavků a dobrou zprávou je že většinu z nich lze vyřešit implementací ISO 27001 – tato norma vám poskytuje dokonalou metodiku, jak je všechny dodržet.
Získejte konkurenční výhodu – pokud vaše společnost získá certifikaci a vaši konkurenti ne, můžete mít oproti nim výhodu v očích zákazníků, kteří jsou citliví na to, jak udržet jejich informace v bezpečí.
Nižší náklady – hlavní filozofií ISO 27001 je prevence bezpečnostních incidentů – a každý incident, velký i malý, stojí peníze. Jejich prevencí proto vaše společnost ušetří spoustu peněz. A to nejlepší ze všeho – investice do ISO 27001 je mnohem menší než úspora nákladů, které dosáhnete.
Lepší organizace – rychle rostoucí společnosti obvykle nemají čas zastavit a definovat své procesy a postupy – v důsledku toho zaměstnanci často neví, co je třeba udělat, kdy, a kým. Implementace ISO 27001 pomáhá tyto situace řešit, protože povzbuzuje společnosti, aby si zapisovaly své hlavní procesy (i ty, které nesouvisejí se zabezpečením), což jim umožňuje zkrátit ztracený čas zaměstnanci.
Jak funguje ISO 27001?
ISO 27001 se zaměřuje na ochranu důvěrnosti, integrity a dostupnosti informací ve společnosti. To se provádí zjišťováním, jaké potenciální problémy by se s informacemi mohly stát (tj., posouzení rizik) a poté definování toho, co je třeba udělat, aby se takové problémy nevyskytly (tj. zmírnění rizika nebo léčba rizika).
Proto je hlavní filozofie ISO 27001 založena na procesu řízení rizik: zjistit, kde jsou rizika, a pak je systematicky léčit pomocí implementace bezpečnostních kontrol (nebo ochranných opatření).
ISO 27001 vyžaduje, aby společnost uvedla seznam všech ovládacích prvků, které mají být implementovány v dokumentu nazvaném Prohlášení o použitelnosti.
Jaké jsou požadavky normy ISO 27001?
Povinné požadavky normy ISO 27001 jsou definovány v jejích bodech 4 až 10 – to znamená, že všechny tyto požadavky musí být implementovány v organizaci, pokud chce být v souladu s normou. Kontroly z přílohy A musí být implementovány, pouze pokud jsou deklarovány jako použitelné v prohlášení o použitelnosti.
Požadavky z oddílů 4 až 10 lze shrnout takto:
Kapitola 4: Kontext organizace – definuje požadavky na porozumění vnějším a vnitřním problémům, zúčastněným stranám a jejich požadavkům a definuje rozsah ISMS.
Kapitola 5: Vedení – definuje odpovědnosti vrcholového managementu, stanoví role a odpovědnosti a obsah zásad nejvyšší úrovně bezpečnosti informací.
Kapitola 6: Plánování – definuje požadavky na hodnocení rizik, léčbu rizik, prohlášení o použitelnosti, plán léčby rizik a stanovení cílů zabezpečení informací.
Kapitola 7: Podpora – definuje požadavky pro dostupnost zdrojů, kompetencí, povědomí, komunikace a kontroly dokumentů a záznamů.
Kapitola 8: Provoz – definuje implementaci hodnocení a léčby rizik, jakož i kontroly a další procesy potřebné k dosažení cílů zabezpečení informací.
Kapitola 9: Hodnocení výkonu – definuje požadavky na monitorování, měření, analýzu, hodnocení, interní audit a kontrolu managementu.
Kapitola 10: Vylepšení – definuje požadavky na neshody, opravy, nápravná opatření a neustálé zlepšování.
Co je 14 domén ISO 27001?
Existuje jsou 14 „domény“ uvedené v příloze A normy ISO 27001, uspořádané v oddílech A.5 až A.18. Oddíly pokrývají následující:
A.5. Zásady zabezpečení informací: Ovládací prvky v této části popište, jak zacházet se zásadami zabezpečení informací.
A.6. Organizace bezpečnosti informací: Ovládací prvky v této části poskytují základní rámec pro implementaci a fungování informační bezpečnosti definováním její vnitřní organizace (např. role , odpovědnosti atd.) a prostřednictvím organizačních aspektů bezpečnosti informací, jako je řízení projektů, používání mobilních zařízení a práce z domova.
A.7. Zabezpečení lidských zdrojů: Ovládací prvky v této části zajišťují, že lidé, kteří jsou pod kontrolou organizace, jsou najímáni, trénováni a řízeni bezpečným způsobem; také pr řeší se zásady disciplinárního řízení a ukončení dohod.
A.8. Správa prostředků: Ovládací prvky v této části zajišťují identifikaci prostředků zabezpečení informací (např. Informace, zpracovatelská zařízení, úložná zařízení atd.), Určení odpovědnosti za jejich zabezpečení a to, aby lidé věděli, jak s nimi zacházet podle předem definované klasifikace úrovně.
A.9. Kontrola přístupu: Ovládací prvky v této části omezují přístup k informacím a informačním aktivům podle skutečných obchodních potřeb. Ovládací prvky jsou pro fyzický i logický přístup.
A.10. Kryptografie: Ovládací prvky v této části poskytují základ pro správné používání šifrovacích řešení k ochraně důvěrnosti, autenticity a / nebo integrity informací.
A.11. Fyzická a environmentální bezpečnost: Ovládací prvky v této části zabraňují neoprávněnému přístupu do fyzických oblastí a chrání zařízení a zařízení před ohrožením lidským nebo přirozeným zásahem.
A.12. Zabezpečení operací: Ovládací prvky v této části zajišťují, že systémy IT, včetně operačních systémů a softwaru, jsou zabezpečené a chráněné proti ztrátě dat. Ovládací prvky v této části navíc vyžadují prostředky pro záznam událostí a generování důkazů, pravidelné ověřování zranitelných míst a preventivní opatření, která zabrání tomu, aby činnosti auditu ovlivňovaly operace.
A.13. Zabezpečení komunikace: Ovládací prvky v této části chrání síťovou infrastrukturu a služby i informace, které jimi procházejí.
A.14. Pořízení, vývoj a údržba systému: Ovládací prvky v této části zajišťují, aby byla při nákupu nových informačních systémů nebo při upgradu stávajících zohledněna bezpečnost informací.
A.15.Vztahy s dodavateli: Ovládací prvky v této části zajišťují, že externě zajišťované činnosti prováděné dodavateli a partnery využívají také vhodné kontroly zabezpečení informací a popisují, jak sledovat výkon zabezpečení třetích stran.
A.16. Správa incidentů zabezpečení informací: Ovládací prvky v této části poskytují rámec pro zajištění správné komunikace a zpracování bezpečnostních událostí a incidentů, aby je bylo možné včas vyřešit; také definují, jak uchovat důkazy a jak se poučit z incidentů, aby se zabránilo jejich opakování.
A.17. Aspekty informační bezpečnosti řízení kontinuity podnikání: Ovládací prvky v této části zajišťují kontinuitu správy zabezpečení informací během přerušení a dostupnost informačních systémů.
A.18. Dodržování předpisů: Kontroly v této části poskytují rámec pro prevenci porušení právních, zákonných, regulačních a smluvních předpisů a pro audit, zda je implementována informační bezpečnost a zda je účinná podle definovaných zásad, postupů a požadavků normy ISO 27001.
Bližší pohled na tyto domény nám ukazuje, že správa zabezpečení informací není jen o zabezpečení IT (tj. brány firewall, antivirové programy atd.), ale také o řízení procesů, právní ochrany, řízení lidských zdrojů, fyzických ochrana atd.
Co jsou ovládací prvky ISO 27001?
Ovládací prvky ISO 27001 (známé také jako ochranná opatření) jsou postupy, které je třeba zavést ke snížení rizik na přijatelnou úroveň. Kontroly mohou být technické, organizační, právní, fyzické, lidské atd.
Kolik kontrol existuje v ISO 27001?
Příloha A ISO 27001 uvádí 114 kontrol uspořádaných do 14 sekcí s číslem A.5 až A.18 uvedeným výše.
Jak implementujete ovládací prvky ISO 27001?
Technické ovládací prvky jsou primárně implementovány v informačních systémech pomocí softwarových, hardwarových a firmwarových komponent přidán do systému. Např. zálohování, antivirový software atd.
Organizační kontroly jsou implementovány definováním pravidel, která je třeba dodržovat, a očekávaným chováním uživatelů, zařízení, softwaru a systémů. Např. Zásady kontroly přístupu, zásady BYOD atd.
Právní kontroly jsou implementovány zajištěním toho, aby pravidla a očekávané chování dodržovaly a prosazovaly zákony, předpisy, smlouvy a další podobné právní nástroje, které musí organizace dodržovat. Např. NDA (dohoda o zachování mlčenlivosti), SLA (dohoda o úrovni služeb) atd.
Fyzické ovládací prvky jsou primárně implementovány pomocí zařízení nebo zařízení, která mají fyzickou interakci s lidmi a objekty. Např. CCTV kamery, poplašné systémy, zámky atd.
Řízení lidských zdrojů je implementováno poskytováním znalostí, vzdělání, dovedností nebo zkušeností osobám, které jim umožňují provádět jejich činnosti bezpečným způsobem. Např. školení o povědomí o bezpečnosti, školení interních auditorů ISO 27001 atd.
povinné dokumenty ISO 27001
ISO 27001 specifikuje minimální soubor zásad, postupů, plánů, záznamů a dalších dokumentovaných informací, které jsou nutné pro dosažení souladu s předpisy.
ISO 27001 vyžaduje, aby byly napsány následující dokumenty:
A toto jsou povinné záznamy:
Společnost se samozřejmě může rozhodnout, že napíše další bezpečnostní dokumenty. pokud to považuje za nutné.
Chcete-li zobrazit podrobnější vysvětlení každého z těchto dokumentů, stáhněte si bezplatnou bílou knihu Kontrolní seznam povinné dokumentace vyžadované normou ISO 27001 (revize z roku 2013).
Kolik stojí ISO 27001 ?
Náklady na implementaci a certifikaci ISMS budou záviset na velikosti a složitosti rozsahu ISMS, který se liší od organizace k organizaci. Cena bude také záviset na místních cenách různých služeb, které budete při implementaci používat.
Obecně řečeno, jedná se o některé z nákladů, které byste měli vzít v úvahu:
- Školení a literatura
- Externí pomoc
- Technologie bude aktualizováno / implementováno
- úsilí a čas zaměstnanců
- náklady certifikačního orgánu
podrobnější vysvětlení certifikace náklady, stáhněte si bezplatnou bílou knihu Jak sestavit rozpočet na implementační projekt ISO 27001.
Co je „Certifikace ISO 27001“?
Společnost může získat certifikaci ISO 27001 pozváním akreditovaného certifikační orgán k provedení certifikačního auditu a pokud bude audit úspěšný, vydá společnosti certifikát ISO 27001. Tento certifikát bude znamenat, že společnost plně vyhovuje normě ISO 27001.
Jednotlivec může získat certifikaci ISO 27001 absolvováním školení ISO 27001 a složením zkoušky. Tento certifikát bude znamenat, že tato osoba během kurzu získala příslušné dovednosti.
Jak dlouho je ISO 27001 platná pro jednou certifikované?
Jakmile certifikační orgán vydá společnosti certifikát ISO 27001, je platný po dobu tří let, během nichž bude certifikační orgán provádět dozorové audity, aby vyhodnotil, zda organizace řádně udržuje ISMS, a v případě potřeby budou vylepšení implementována včas.
Které společnosti jsou certifikovány podle ISO 27001?
Web ISO.org poskytuje obecný přehled certifikovaných organizací v členění podle odvětví, země, počtu webů atd. Můžete najít Průzkum ISO na tomto odkazu: https://www.iso.org/the-iso-survey.html.
Chcete-li zkontrolovat, zda konkrétní společnost má certifikaci ISO 27001, musíte kontaktovat certifikační orgán, protože neexistuje žádný oficiální centralizovaná databáze certifikovaných společností.
Může mít osoba certifikát ISO?
Ano, jednotlivec může získat certifikát ISO 27001 absolvováním jednoho nebo více následujících školení a absolvováním zkouška:
- ISO 27001 Lead Implementer Course – toto školení je určeno pro pokročilé odborníky a konzultanty.
- ISO 27001 Lead Auditor Course – toto školení je určeno pro auditory v oblasti certifikace orgány a pro konzultanty.
- Kurz interního auditora ISO 27001 – toto školení je určeno pro lidi, kteří budou ve své společnosti provádět interní audity.
- ISO 27001 Foundations Course – toto školení je určeno pro lidi, kteří se chtějí naučit základy normy a hlavní kroky při implementaci.
Co jsou normy ISO 27000?
Protože ISO 27001 definuje požadavky na ISMS, je hlavním standardem v rodině norem ISO 27000. Protože však hlavně definuje, co je potřeba, ale neurčuje, jak to udělat, bylo vyvinuto několik dalších standardů zabezpečení informací, které poskytují další pokyny. V současné době je v řadě ISO27k více než 40 norem a nejčastěji se používají tyto normy:
ISO / IEC 27000 poskytuje termíny a definice používané v řadě norem ISO 27k.
ISO / IEC 27002 poskytuje pokyny pro implementaci ovládacích prvků uvedených v příloze A ISO 27001. Může to být docela užitečné, protože poskytuje podrobnosti o tom, jak tyto ovládací prvky implementovat.
ISO / IEC 27004 poskytuje pokyny pro měření bezpečnosti informací – dobře vyhovuje normě ISO 27001, protože vysvětluje, jak určit, zda ISMS dosáhl svých cílů.
ISO / IEC 27005 poskytuje pokyny pro řízení rizik zabezpečení informací. Je to velmi dobrý doplněk k ISO 27001, protože poskytuje podrobnosti o tom, jak provádět hodnocení rizik a léčbu rizik, což je pravděpodobně nejtěžší fáze implementace.
ISO / IEC 27017 poskytuje pokyny pro zabezpečení informací v cloudových prostředích.
ISO / IEC 27018 poskytuje pokyny pro ochranu soukromí v cloudových prostředích.
ISO / IEC 27031 poskytuje pokyny, co je třeba vzít v úvahu při vývoji kontinuity podnikání v oblasti informačních a komunikačních technologií (ICT). Tato norma je skvělým spojením mezi bezpečností informací a postupy kontinuity podnikání.
Jaká je aktuální verze ISO 27001?
Od data vydání tohoto článku je aktuální verze ISO 27001 is ISO / IEC 27001: 2013.
První verze ISO 27001 byla vydána v roce 2005 (ISO / IEC 27001: 2005), druhá verze v roce 2013 a norma byla naposledy revidována v roce 2019 , kdy byla potvrzena verze z roku 2013 (tj. nebyly nutné žádné změny).
Je důležité si uvědomit, že různé země, které jsou členy ISO, mohou tuto normu přeložit do svých vlastních jazyků a provést drobné dodatky (např. , národní předmluvy), které nemají vliv na obsah mezinárodní verze normy. Tyto „verze“ mají další písmena, aby se odlišily od mezinárodního standardu, např. NBR ISO / IEC 27001 označuje „brazilskou verzi“, zatímco BS ISO / IEC 27001 označuje „britskou verzi“. Tyto místní verze normy také obsahují rok, kdy byly přijaty místním normalizačním orgánem, takže nejnovější britskou verzí je BS EN ISO / IEC 27001: 2017, což znamená, že ISO / IEC 27001: 2013 byla přijata Britským normalizačním institutem v roce 2017.
Jaký je rozdíl mezi ISO 27001 a 27002?
ISO 27001 definuje požadavky na systém řízení bezpečnosti informací (ISMS), zatímco ISO 27002 poskytuje pokyny k implementaci ovládacích prvků z přílohy A ISO 27001.
Jinými slovy, pro každý ovládací prvek poskytuje ISO 27001 pouze stručný popis, zatímco ISO 27002 poskytuje podrobné pokyny.
Jaký je rozdíl mezi NIST a ISO 27001?
Zatímco ISO 27001 je mezinárodní standard, NIST je americká vládní agentura, která propaguje a udržuje standardy měření ve Spojených státech – mezi nimi řada SP 800, soubor dokumentů, které specifikují osvědčené postupy pro bezpečnost informací.
I když nejsou stejné, lze pro implementaci informační bezpečnosti společně použít řadu NIST SP 800 a ISO 27001.
Je ISO 27001 povinný?
Ve většině zemí není implementace ISO 27001 povinná. Některé země však zveřejnily předpisy, které vyžadují, aby určitá průmyslová odvětví implementovala ISO 27001.
Chcete-li zjistit, zda je ISO 27001 pro vaši společnost povinný či nikoli, měli byste vyhledat odbornou právní radu v zemi, kde působíte.
Co jsou kontroly podle ISO 27001?
Veřejné a soukromé organizace mohou ve svých smlouvách a dohodách o službách s jejich poskytovateli definovat soulad s ISO 27001 jako právní požadavek. Jak již bylo uvedeno výše, země mohou dále definovat zákony nebo předpisy, které promění přijetí normy ISO 27001 na právní požadavek, který musí splňovat organizace působící na jejich území.
Chcete-li se dozvědět více o GDPR EU a proč je použitelný pro celý svět, přečtěte si tento článek.