ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                      Duben 2021

Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Použití ISO/IEC 27001 v jednotlivých odvětvích – Požadavky

ČSN
ISO/IEC 27009

36 9790

 

Information security, cybersecurity and privacy protection – Sector-specific application of ISO/IEC 27001 – Requirements

Sécurité de l’information, cybersécurité et protection des données personnelles – Application de l’ISO/IEC 27001
à un secteur spécifique – Exigences

Tato norma je českou verzí mezinárodní normy ISO/IEC 27009:2020. Překlad byl zajištěn Českou agenturou
pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27009:2020. It was translated by the Czech Standardization Agency. It has the same status as the official version.

 


Národní předmluva

Informace o citovaných dokumentech

ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27001 zavedena v ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ISO/IEC 27002 zavedena v ČSN EN ISO/IEC 27002 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací

Souvisící ČSN

ČSN EN ISO/IEC 27011 (36 9710) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro telekomunikační organizace založený na ISO/IEC 27002

ČSN ISO/IEC 27017 (36 9710) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002

ČSN EN ISO/IEC 27018 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

ČSN EN ISO/IEC 27019 (36 9719) Informační technologie – Bezpečnostní techniky – Opatření bezpečnosti
informací pro energetický průmysl

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Vysvětlivky k textu převzaté normy

Pro účely této normy je anglický termín „guidance“ přeložen jako „pokyn“ vzhledem k jeho používání v oblasti IT a v návaznosti na vydané normy z oblasti IT, zejména souboru norem ISO/IEC 27XXX. Český ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se v souvislosti se souborem norem ISO/IEC 27XXX nepoužívá.

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí –    ISO/IEC 27009 Použití ISO/IEC 27001 v jednotlivých odvětvích – Požadavky                        Druhé vydání        2020-04

ICS 35.030

Obsah

Strana

Předmluva..................................................................................................................................................................................................... 4

1......... Předmět normy................................................................................................................................................................................ 5

2......... Citované dokumenty....................................................................................................................................................................... 5

3......... Termíny a definice........................................................................................................................................................................... 5

4......... Přehled.............................................................................................................................................................................................. 6

4.1...... Obecně.............................................................................................................................................................................................. 6

4.2...... Struktura dokumentu....................................................................................................................................................................... 6

4.3...... Rozšíření požadavků ISO/IEC 27001 nebo opatření ISO/IEC 27002.................................................................................... 7

5......... Doplnění, upřesnění nebo interpretace požadavků ISO/IEC 27001...................................................................................... 7

5.1...... Obecně.............................................................................................................................................................................................. 7

5.2...... Doplnění požadavků k ISO/IEC 27001........................................................................................................................................ 7

5.3...... Upřesnění požadavků v ISO/IEC 27001...................................................................................................................................... 7

5.4...... Interpretace požadavků v ISO/IEC 27001................................................................................................................................... 8

6......... Doplnění nebo modifikace pokynů ISO/IEC 27002.................................................................................................................. 8

6.1...... Obecně.............................................................................................................................................................................................. 8

6.2...... Doplněné pokyny............................................................................................................................................................................. 8

6.3...... Modifikované pokyny...................................................................................................................................................................... 8

Příloha A (normativní) Šablona pro vývoj norem specifických pro jednotlivá odvětví týkajících se ISO/IEC 27001
a volitelně ISO/IEC 27002............................................................................................................................................................ 10

Příloha B (normativní) Šablona pro vývoj norem specifických pro jednotlivá odvětví týkajících se ISO/IEC 27002.............. 13

Příloha C (informativní) Vysvětlení výhod a nevýhod přístupů k číslování použitých v příloze B............................................... 19

Bibliografie.................................................................................................................................................................................................. 21

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2020

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného svolení. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · CH. de Blandonnet 8

CH-1214 Vernier, Geneva

Tel. + 41 22 749 01 11

Email: copyright@iso.org

Website: www.iso.org

Publikováno ve Švýcarsku

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27009:2016), které bylo technicky zrevidováno.

Hlavní změny oproti předchozímu vydání jsou následující:

    předmět normy byl aktualizován, aby jasněji odrážel obsah tohoto dokumentu;

    dřívější příloha A byla rozdělena na přílohy A a B;

    byla vytvořena příloha C.

Jakákoliv zpětná vazba nebo otázky týkající se tohoto dokumentu by měly být směrovány na národní normalizační orgán uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html.

1 Předmět normy

Tento dokument specifikuje požadavky na vytváření norem specifických pro jednotlivá odvětví, které rozšiřují ISO/IEC 27001 a doplňují nebo pozměňují ISO/IEC 27002 tak, aby podporovaly konkrétní odvětví (obor, oblast použití nebo trh).

Tento dokument vysvětluje, jak:

    zahrnout požadavky navíc k požadavkům v ISO/IEC 27001,

    upřesnit nebo interpretovat kterýkoli z požadavků ISO/IEC 27001,

    zahrnout opatření navíc k opatřením uvedeným v ISO/IEC 27001:2013, příloha A a v ISO/IEC 27002,

    modifikovat kterékoli z opatření uvedené v ISO/IEC 27001:2013, příloha A a v ISO/IEC 27002,

    přidat pokyny nebo upravit pokyny uvedené v ISO/IEC 27002.

Tento dokument specifikuje, že doplňující nebo upřesněné požadavky nezneplatňují požadavky ISO/IEC 27001.

Tento dokument je použitelný pro ty, kdo se podílejí na vytváření norem specifických pro jednotlivá odvětví.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.