Národní předmluva
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena
v ČSN EN ISO/IEC 27000 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
Souvisící ČSN a TNI
ČSN EN ISO/IEC 27001:2023
(36 9797) Informační bezpečnost, kybernetická bezpečnost
a ochrana soukromí – Systémy managementu informační
bezpečnosti – Požadavky
ČSN ISO/IEC 27003 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Pokyny
ČSN ISO/IEC 27004
(36 9790) Informační technologie – Bezpečnostní techniky –
Řízení bezpečnosti informací – Monitorování, měření, analýza
a hodnocení
ČSN ISO/IEC 27014 (36 9790) Bezpečnost
informací, kybernetická bezpečnost a ochrana soukromí – Správa
a řízení bezpečnosti informací
ČSN EN ISO/IEC 27017
(36 9710) Informační technologie – Bezpečnostní techniky –
Soubor postupů pro opatření bezpečnosti informací pro cloudové služby
založený na ISO/IEC 27002
ČSN EN ISO/IEC 27701
(36 9770) Bezpečnostní techniky – Rozšíření ISO/IEC 27001
a ISO/IEC 27002 pro řízení ochrany soukromí – Požadavky
a směrnice
ČSN ISO 31000:2018 (01 0351) Management
rizik – Směrnice
ČSN EN IEC 31010 ed. 2:2020
(01 0352) Management rizik – Techniky posuzování rizik
TNI 01 0350:2010 (01 0350) Management
rizik – Slovník (Pokyn 73)
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vysvětlivky k textu převzaté normy
Pro účely této normy byly použity následující anglické
termíny v původní podobě, vzhledem k rozšíření těchto termínů
v odborné komunitě a/nebo absenci českého ekvivalentu:
0-Day, man-in-the-middle, script-kiddies, shell
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5
odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na
výrobky a o změně a doplnění některých zákonů, ve znění pozdějších
předpisů.
MEZINÁRODNÍ
NORMA
Informační bezpečnost,
kybernetická bezpečnost a ochrana ISO/IEC 27005
soukromí – Pokyny pro management rizik informační bezpečnosti Čtvrté vydání 2022-10
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
3.1...... Termíny souvisící s riziky informační
bezpečnosti.................................................................................................................... 7
3.2...... Termíny souvisící s managementem rizik
informační bezpečnosti.................................................................................... 10
4......... Struktura tohoto dokumentu........................................................................................................................................................ 12
5......... Management rizik informační bezpečnosti.............................................................................................................................. 12
5.1...... Proces managementu rizik informační
bezpečnosti.............................................................................................................. 12
5.2...... Cykly managementu rizik informační bezpečnosti................................................................................................................ 14
6......... Ustanovení kontextu..................................................................................................................................................................... 14
6.1...... Organizační aspekty..................................................................................................................................................................... 14
6.2...... Identifikace základních požadavků
zainteresovaných stran................................................................................................. 14
6.3...... Použití posuzování rizik................................................................................................................................................................ 15
6.4...... Ustanovení a udržování kritérií rizik
informační bezpečnosti............................................................................................... 15
6.4.1... Obecně............................................................................................................................................................................................ 15
6.4.2... Kritéria akceptace rizika............................................................................................................................................................... 15
6.4.3... Kritéria pro posuzování rizik informační
bezpečnosti............................................................................................................ 16
6.5...... Výběr vhodné metody.................................................................................................................................................................. 19
7......... Proces posuzování rizik informační
bezpečnosti.................................................................................................................... 19
7.1...... Obecně............................................................................................................................................................................................ 19
7.2...... Identifikace rizik informační bezpečnosti................................................................................................................................. 20
7.2.1... Identifikace a popis rizik informační
bezpečnosti................................................................................................................... 20
7.2.2... Identifikace vlastníků rizik............................................................................................................................................................ 21
7.3...... Analýza rizik informační bezpečnosti........................................................................................................................................ 22
7.3.1... Obecně............................................................................................................................................................................................ 22
7.3.2... Posuzování možných následků.................................................................................................................................................. 22
7.3.3... Posouzení pravděpodobnosti výskytu....................................................................................................................................... 23
7.3.4... Stanovení úrovní rizik................................................................................................................................................................... 24
7.4...... Hodnocení rizik informační bezpečnosti.................................................................................................................................. 24
7.4.1... Porovnání výsledků analýzy rizika
s kritérii rizika................................................................................................................... 24
7.4.2... Stanovení priorit analyzovaných rizik pro
ošetření rizika....................................................................................................... 25
Strana
8......... Proces ošetření rizika informační
bezpečnosti........................................................................................................................ 25
8.1...... Obecně............................................................................................................................................................................................ 25
8.2...... Výběr vhodných možností ošetření rizika
informační bezpečnosti..................................................................................... 25
8.3...... Určení všech opatření nezbytných
k zavedení možností ošetření rizika informační bezpečnosti................................. 26
8.4...... Porovnání stanovených opatření
s opatřeními podle ISO/IEC 27001:2022, příloha A.................................................... 28
8.5...... Vypracování Prohlášení
o aplikovatelnosti.............................................................................................................................. 29
8.6...... Plán ošetření rizik informační bezpečnosti.............................................................................................................................. 29
8.6.1... Formulace plánu ošetření rizik................................................................................................................................................... 29
8.6.2... Schválení vlastníky rizik............................................................................................................................................................... 30
8.6.3... Akceptace zbytkových rizik informační
bezpečnosti.............................................................................................................. 30
9......... Provozování.................................................................................................................................................................................... 31
9.1...... Provádění procesu posuzování rizik informační
bezpečnosti.............................................................................................. 31
9.2...... Provádění procesu ošetření rizika informační
bezpečnosti.................................................................................................. 32
10....... Využití souvisících procesů ISMS............................................................................................................................................... 32
10.1.... Kontext organizace....................................................................................................................................................................... 32
10.2.... Vůdčí role a závazek..................................................................................................................................................................... 33
10.3.... Komunikace a konzultace........................................................................................................................................................... 33
10.4.... Dokumentované informace........................................................................................................................................................ 34
10.4.1 Obecně............................................................................................................................................................................................ 34
10.4.2 Dokumentované informace o procesech................................................................................................................................. 34
10.4.3 Dokumentované informace o výsledcích................................................................................................................................. 35
10.5.... Monitorování a přezkoumávání.................................................................................................................................................. 36
10.5.1 Obecně............................................................................................................................................................................................ 36
10.5.2 Monitorování a přezkoumávání faktorů
ovlivňujících rizika.................................................................................................. 36
10.6.... Přezkoumání vedením organizace............................................................................................................................................ 37
10.7.... Nápravná opatření........................................................................................................................................................................ 37
10.8.... Neustálé zlepšování..................................................................................................................................................................... 38
Příloha A (informativní) Příklady technik na
podporu procesu posuzování rizik........................................................................... 39
Bibliografie.................................................................................................................................................................................................. 57
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2022
Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo
jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez
předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže
uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CP
401 · Ch. de Blandonnet 8
CH-1214
Vernier, Geneva
Tel.:
+ 41 22 749 01 11
E-mail:
copyright@iso.org
Web: www.iso.org
Publikováno
ve Švýcarsku
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní i nevládní mezinárodní organizace,
s nimiž ISO a IEC navázaly pracovní styk.
Postupy použité při
tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou
popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat
pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů.
Tento dokument byl vypracován v souladu s redakčními pravidly
uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives nebo www.iec.ch/members_experts/refdocs).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti
o jakýchkoliv patentových právech
identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu
a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu
patentových prohlášení obdr-
žených IEC (viz https://patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu
specifických termínů a výrazů ISO, které se
vztahují k posuzování shody, jakož i informace o tom, jak
ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických
překážek obchodu (TBT), viz www.iso.org/iso/foreword.html. V IEC viz
www.iec.ch/understanding-standards.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 Informační bezpečnost,
kybernetická bezpečnost a ochrana soukromí.
Toto čtvrté vydání zrušuje a nahrazuje třetí vydání
(ISO/IEC 27005:2018), které bylo technicky zrevidováno.
Hlavní změny jsou:
–
všechny pokyny byly sladěny s ISO/IEC 27001:2022
a ISO 31000:2018;
–
terminologie byla sladěna s terminologií
v ISO 31000:2018;
–
struktura kapitol byla přizpůsobena uspořádání ISO/IEC 27001:2022;
–
byly zavedeny koncepty scénářů rizik;
–
přístup k identifikaci rizik založený na událostech je postaven do
kontrastu s přístupem k identifikaci rizik založeným na aktivech;
–
obsah příloh byl revidován a restrukturalizován do jediné přílohy.
Jakákoli zpětná vazba nebo otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na www.iso.org/members.html
a www.iec.ch/national-committees.
Tento dokument poskytuje pokyny pro:
–
implementaci požadavků na rizika informační bezpečnosti uvedených
v ISO/IEC 27001;
–
základní odkazy v rámci norem vypracovaných
ISO/IEC JTC 1/SC 27 na podporu činností managementu rizik
informační bezpečnosti;
– činnosti, které se zabývají riziky souvisícími
s informační bezpečností (viz ISO/IEC 27001:2022, 6.1 a kapitola
8);
–
implementaci pokynů pro management rizik z ISO 31000
v kontextu informační bezpečnosti.
Tento dokument obsahuje podrobné pokyny pro management rizik
a doplňuje pokyny v ISO/IEC 27003.
Tento dokument je určen pro:
–
organizace, které zamýšlejí zavést a implementovat systém
managementu informační bezpečnosti (ISMS) v souladu
s ISO/IEC 27001;
–
osoby, které provádějí nebo se podílejí na managementu rizik informační
bezpečnosti (např. odborníci na ISMS, vlastníci rizik a další
zainteresované strany);
–
organizace, které zamýšlejí zlepšit svůj proces managementu rizik
informační bezpečnosti.
Tento dokument obsahuje pokyny, které mají organizacím
pomoci:
–
splnit požadavky ISO/IEC 27001 týkající se opatření k řešení
rizik v oblasti informační bezpečnosti;
–
provádět činnosti v oblasti managementu rizik informační
bezpečnosti, zejména posuzování a ošetření rizik informační bezpečnosti.
Tento dokument je použitelný pro všechny organizace bez
ohledu na typ, velikost nebo odvětví.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA