ISO/IEC 27000

ISO 27000 (ISO/IEC 27000) je rodina mezinárodních standardů zaměřená na řízení informační bezpečnosti v organizacích. Všechny standardy rodiny ISO 27000 jsou vydávané Mezinárodní organizací pro standardizaci ISO.

Jednotlivé standardy cílí na různé aspekty informační bezpečnosti v organizacích. Poskytují praktické nástroje pro ty organizace, které chtějí identifikovat a řídit environmentální dopad svého chování a trvale udržovat a zlepšovat environmentální výkonnost.

Základní normy rodiny ISO/IEC 27000

Norma ISO/IEC 27000:2018 - Information security management system - Overview and vocabulary (Systém řízení bezpečnosti informací - Přehled a slovník) sjednocuje odborný slovník a definuje základní modely uplatňované při řízení bezpečnosti informací.

Norma ISO/IEC 27001:2013 - Information security management system - Requirements (Systém řízení bezpečnosti informací - Požadavky) obsahuje základní specifikaci systému řízení bezpečnosti informací v organizaci.

Norma ISO/IEC 27002:2013 - Code of practice for information security management (Soubor postupů pro řízení bezpečnosti informací) obsahuje podrobný výklad vhodných bezpečnostních opatření.

Norma ISO/IEC 27003:2017 - Information security management system - Guidance (Systém řízení bezpečnosti informací - Pokyny) obsahuje doporučení a návody, které jsou pro zavádění ISMS vhodné, nicméně doporučení této normy nemají podobu závazných pravidel, ale slouží pouze jako doporučení, jak požadavky ISMS vhodným způsobem naplnit.

Norma ISO/IEC 27004:2016 - Information security management system - Monitoring, measurement, analysis and evaluation (Systém řízení bezpečnosti informací - Monitorování, měření, analýza a hodnocení) upřesňuje pravidla a způsoby využívání nástrojů pro sledování účinnosti a efektivnosti zavedení a prosazení ISMS.

Norma ISO/IEC 27005:2018 - Information security management (Řízení rizik bezpečnosti informací) podrobně definuje pravidla a postupy řízení rizik. Tato norma také obsahuje rozsáhlé katalogy hrozeb a zranitelností.

Norma ISO/IEC 27006:2015 - Requirements for the accreditation of bodies providing certification of information security management systems (Požadavky na akreditaci orgánů provádějících certifikaci systémů řízení bezpečnosti informací) upřesňuje pravidla pro udělování certifikací ISMS a podle ní musí postupovat certifikační orgány, které služby spojené s certifikací ISMS poskytují.

Norma ISO/IEC 27007:2017 - Guidelines for information security management systems auditing (Směrnice pro audit systému řízení bezpečnosti informací) stanovuje pravidla a postupy s prováděním interních i externích auditů systému řízení prvků ISMS.

Norma ISO/IEC 27008:2019 - Guidelines for assessment of information security controls (Směrnice pro hodnocení opatření bezpečnosti informací) stanovuje pravidla a postupy spojené s posuzováním nasazení a provozování opatření bezpečnosti informací včetně jejich technického hodnocení.

Na tuto základní množinu pak navazují další normy rodiny ISO/IEC 27000, které se soustřeďují na specifické aspekty řízení bezpečnosti v různých odvětvích lidských činností.

Zajímavou normou je např. norma ISO/IEC 27021:2017 - Information technology - Security techniques - Competence requirements for information security management professionals, která se věnuje specifikaci kompetencí, znalostí a dovedností, jimiž by měli disponovat profesionálové v oblasti informační bezpečnosti.

Nebo např. norma ISO/IEC 27033 - Information technology - Security techniques, která se zabývá různými aspekty síťové bezpečnosti. Norma obsahuje celkem šest dílů.

Jak použít ISO 27000 v praxi?

ISO 27000 je pouze zastřešující rodina, organizace si musí vybrat vždy jednu konkrétní normu pomocí které vyřeší svoje konkrétní potřeby. Klíčová a nejpoužívanější je norma ISO 27001.

ISO 27001

ISO 27001 je označení standardu pro systém řízení informační bezpečnosti v organizaci.

ISO 27001 je hlavní normou celé rodiny ISO 27000 a poskytuje komplexní přístup k informační bezpečnosti v organizaci. Zahrnuje veškerá aktiva od dat, přes papírové dokumenty, informační a komunikační technologie až po znalosti. Zahrnuje též rozvoj kvalifikace zaměstnanců a technickou ochranu proti počítačovým podvodům.

Principy ochrany informací dle ISO 27001 jsou založeny na třech principech informační bezpečnosti:

  • Důvěrnosti - což znamená, že informace jsou přístupné pouze těm, kteří mají povolený (autorizovaný) přístup

  • Celistvosti - což znamená, že existuje správnost a úplnost informací

  • Dostupnosti - což znamená, že oprávnění uživatelé mají přístup k informacím v okamžiku, kdy je potřebují

ISO 27001 je v souladu s ostatními systémy řízení, jako ISO 9001, zahrnuje kontinuální proces zlepšování celého systému řízení informační bezpečnosti pomocí integrovaného modelu PDCA.

Řada norem pro řízení bezpečnosti informací ISO/IEC 27000 vychází ideově z principu PDCA a definují pravidla pro systémy řízení bezpečnosti informací (Information Security Management System - ISMS).

Demingův cyklus nebo PDCA Cyklus (anglicky Deming cycle nebo PDCA cycle) je metoda postupného zlepšování například kvality výrobků, služeb, procesů, aplikací, dat, probíhající formou opakovaného provádění čtyř základních činností:

  • P - Plan - naplánování zamýšleného zlepšení (záměr)

  • D - Do - realizace plánu

  • C - Check - ověření výsledku realizace oproti původnímu záměru

  • A - Act - úpravy záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do praxe

K čemu je dobrý Demingův cyklus v praxi? PDCA cyklus je jeden ze základních a klíčových manažerských principů. De-facto popisuje síly, které roztáčení inovační kolečko, které je hnacím motorem neustálého zlepšování. Používá se jako přesně stanovený a cyklicky se opakující sled kroků a činností při zavádění inovací a zvyšování kvality.

Využití normy ISO 27001 v praxi: Norma ISO 27001 je určena jak pro organizace soukromého i veřejného sektoru, bez ohledu na jejich velikost nebo lokalitu. Specifikuje požadavky na systém řízení informační bezpečnosti. Využívá se při certifikaci k nezávislému posouzení schopnosti organizace vytvořit a udržovat komplexní systém informační bezpečnosti.

Norma ISO 27001 je standardně používaná pro certifikaci.

Použité zdroje

  • KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-31-7.

  • DOUCEK, Petr, Martin KONEČNÝ a Luděk NOVÁK. Řízení kybernetické bezpečnosti a bezpečnosti informací. Praha: Professional Publishing, 2019. ISBN 978-80-88260-39-4.

  • Sbírka zákonů č. 82 / 2018 Vyhláška o kybernetické bezpečnosti