Národní předmluva
Změny proti předchozí normě
Název normy byl změněn. Text byl uveden do souladu s harmonizovanou
strukturou norem systému mana-
gementu a s ISO/IEC 27002:2022.
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000
(36 9790) Informační technologie – Bezpečnostní techniky – Systémy
řízení bezpečnosti informací – Přehled a slovník
Souvisící ČSN
ČSN EN ISO/IEC 27002:2023
(36 9798) Informační bezpečnost, kybernetická bezpečnost a ochrana
soukromí – Opatření informační bezpečnosti
ČSN ISO/IEC 27003 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Pokyny
ČSN ISO/IEC 27004 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení bezpečnosti informací –
Monitorování, měření, analýza a hodnocení
ČSN ISO 31000:2018 (01 0351) Management
rizik – Směrnice
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vypracování normy
Zpracovatel: Česká agentura pro standardizaci, IČO 06578705
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví
na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických
požadavcích na výrobky a o změně a doplnění některých zákonů, ve
znění pozdějších předpisů.
EVROPSKÁ NORMA EN ISO/IEC 27001
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM Červenec 2023
ICS 03.100.70; 35.030 Nahrazuje
EN ISO/IEC 27001:2017
Informační bezpečnost, kybernetická bezpečnost a ochrana
soukromí –
Systémy managementu informační bezpečnosti – Požadavky
(ISO/IEC 27001:2022)
Information security, cybersecurity and
privacy protection –
Information security management systems –
Requirements
(ISO/IEC 27001:2022)
|
Sécurité de l’information,
cybersécurité et protection
de la vie privée – Systèmes de management
de la sécurité de l’information – Exigences (ISO/IEC 27001:2022)
|
Informationssicherheit, Cybersicherheit
und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen
(ISO/IEC 27001:2022)
|
Tato evropská norma byla schválena CEN dne 2023-07-23.
Členové CEN a CENELEC jsou povinni splnit vnitřní předpisy
CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se této evropské
normě bez jakýchkoliv modifikací uděluje status národní normy. Aktualizované
seznamy a bibliografické citace týkající se těchto národních norem lze
obdržet na vyžádání v Řídicím centru
CEN-CENELEC nebo u kteréhokoliv člena CEN a CENELEC.
Tato evropská norma existuje ve třech oficiálních verzích
(anglické, francouzské, německé). Verze v každém
jiném jazyce přeložená členem CEN a CENELEC do jeho vlastního jazyka, za
kterou zodpovídá a kterou notifikuje Řídicímu centru CEN-CENELEC, má
stejný status jako oficiální verze.
|
Řídicí centrum CEN-CENELEC
Rue de la Science 23, B-1040 Brusel
© 2023 CEN/CENELEC Veškerá
práva pro využití v jakékoli formě Ref.
č. EN ISO/IEC 27001:2023 E
a jakýmikoli prostředky jsou celosvětově vyhrazena
národním členům CEN a CENELEC.
|
Členy CEN a CENELEC jsou národní normalizační orgány a národní
elektrotechnické komise Belgie, Bulharska, České republiky, Dánska, Estonska,
Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska,
Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska,
Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka,
Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska,
Švýcarska a Turecka.
Text ISO/IEC 27001:2022 vypracovala technická komise
ISO/IEC JTC 1 Informační technologie Mezinárodní
organizace pro normalizaci (ISO) a byl převzat jako
EN ISO/IEC 27001:2023 technickou komisí CEN-CENELEC/JTC 13 Kybernetická
bezpečnost a ochrana dat, jejímž sekretariátem je DIN.
Této evropské normě je nutno nejpozději do ledna 2024 udělit
status národní normy, a to buď vydáním identického textu, nebo schválením
k přímému používání, a národní normy, které jsou s ní v rozporu,
je nutno zrušit nejpozději do ledna 2024.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv.
CEN-CENELEC nelze činit odpovědným za identifikaci jakéhokoliv nebo všech
patentových práv.
Tento dokument nahrazuje EN ISO/IEC 27001:2017.
Jakákoli zpětná vazba a otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na webových stránkách CEN a CENELEC.
Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou
normu povinny zavést národní normalizační organizace následujících zemí:
Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie,
Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska,
Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království,
Srbska, Španělska, Švédska, Švýcarska a Turecka.
Oznámení o schválení
Text ISO/IEC 27001:2022 byl schválen CEN-CENELEC jako
EN ISO/IEC 27001:2023 bez jakýchkoliv modifikací.
Obsah
Strana
Evropská
předmluva.................................................................................................................................................................................... 4
Předmluva..................................................................................................................................................................................................... 7
Úvod................................................................................................................................................................................................................ 8
1......... Předmět normy................................................................................................................................................................................ 9
2......... Citované dokumenty....................................................................................................................................................................... 9
3......... Termíny a definice........................................................................................................................................................................... 9
4......... Kontext organizace.......................................................................................................................................................................... 9
4.1...... Porozumění organizaci a jejímu kontextu.................................................................................................................................. 9
4.2...... Porozumění potřebám a očekáváním
zainteresovaných stran.............................................................................................. 9
4.3...... Stanovení rozsahu systému managementu
informační bezpečnosti................................................................................... 9
4.4...... Systém managementu informační bezpečnosti..................................................................................................................... 10
5......... Vůdčí role........................................................................................................................................................................................ 10
5.1...... Vůdčí role a závazek..................................................................................................................................................................... 10
5.2...... Politika............................................................................................................................................................................................. 10
5.3...... Role, odpovědnosti a pravomoci v rámci
organizace............................................................................................................ 10
6......... Plánování........................................................................................................................................................................................ 11
6.1...... Činnosti zaměřené na rizika a příležitosti................................................................................................................................. 11
6.1.1... Obecně............................................................................................................................................................................................ 11
6.1.2... Posuzování rizik informační bezpečnosti................................................................................................................................. 11
6.1.3... Ošetření rizik informační bezpečnosti....................................................................................................................................... 11
6.2...... Cíle informační bezpečnosti a plánování
jejich dosažení..................................................................................................... 12
6.3...... Plánování změn............................................................................................................................................................................. 12
7......... Podpora........................................................................................................................................................................................... 12
7.1...... Zdroje............................................................................................................................................................................................... 12
7.2...... Kompetence................................................................................................................................................................................... 13
7.3...... Povědomí........................................................................................................................................................................................ 13
7.4...... Komunikace................................................................................................................................................................................... 13
7.5...... Dokumentované informace........................................................................................................................................................ 13
7.5.1... Obecně............................................................................................................................................................................................ 13
7.5.2... Vytváření a aktualizace................................................................................................................................................................ 13
7.5.3... Řízení dokumentovaných informací.......................................................................................................................................... 13
8......... Provozování.................................................................................................................................................................................... 14
8.1...... Plánování a řízení provozu.......................................................................................................................................................... 14
8.2...... Posuzování rizik informační bezpečnosti................................................................................................................................. 14
8.3...... Ošetření rizik informační bezpečnosti....................................................................................................................................... 14
9......... Hodnocení výkonnosti.................................................................................................................................................................. 14
9.1...... Monitorování, měření, analýza a hodnocení............................................................................................................................ 14
9.2...... Interní audit..................................................................................................................................................................................... 15
9.2.1... Obecně............................................................................................................................................................................................ 15
9.2.2... Program interního auditu............................................................................................................................................................. 15
9.3...... Přezkoumání vedením................................................................................................................................................................. 15
9.3.1... Obecně............................................................................................................................................................................................ 15
Strana
9.3.2... Vstupy pro přezkoumání vedením............................................................................................................................................. 15
9.3.3... Výsledky z přezkoumání vedením............................................................................................................................................. 15
10....... Zlepšování...................................................................................................................................................................................... 16
10.1.... Neustálé zlepšování..................................................................................................................................................................... 16
10.2.... Neshody a nápravná opatření.................................................................................................................................................... 16
Příloha A (normativní) Odkazy na opatření
informační bezpečnosti............................................................................................... 17
Bibliografie.................................................................................................................................................................................................. 24
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2022
Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo
jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez
předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže
uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CP
401 · Ch. de Blandonnet 8
CH-1214
Vernier, Geneva
Tel.:
+ 41 22 749 01 11
E-mail:
copyright@iso.org
Web: www.iso.org
Publikováno
ve Švýcarsku
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž
ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1.
Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro
různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními
pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives nebo www.iec.ch/members_experts/refdocs).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv
patentových právech identifikovaných během přípravy tohoto dokumentu budou
uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených
ISO (viz www.iso.org/patents) nebo v seznamu
patentových prohlášení obdržených IEC (viz https://patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru
technických norem, významu specifických
termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.
V IEC viz
www.iec.ch/understanding-standards.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 Informační bezpečnost,
kybernetická bezpečnost a ochrana soukromí.
Toto třetí vydání zrušuje a nahrazuje druhé vydání
(ISO/IEC 27001:2013), které bylo technicky zrevidováno. To zahrnuje také
technické opravy ISO/IEC 27001:2013/Cor. 1:2014 a ISO/IEC 27001:2013/Cor. 2:2015.
Hlavní změny jsou:
– text byl uveden do souladu s harmonizovanou
strukturou norem systému managementu a ISO/IEC 27002:2022.
Jakákoli zpětná vazba nebo otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na www.iso.org/members.html
a www.iec.ch/national-committees.
0.1 Obecně
Tento dokument byl
vypracován za účelem ustavení, zavedení, udržování a neustálého zlepšování
systému mana-
gementu informační bezpečnosti. Přijetí systému managementu informační
bezpečnosti je pro organizaci strategickým rozhodnutím. Ustavení a zavedení
systému managementu informační bezpečnosti organizace jsou ovlivněny potřebami
a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí
a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně
budou v čase měnit.
Systém managementu informační bezpečnosti zachovává
důvěrnost, integritu a dostupnost informací aplikováním procesu
managementu rizik a dává jistotu zainteresovaným stranám, že jsou rizika
přiměřeně řízena.
Je důležité, aby byl systém managementu informační
bezpečnosti součástí procesů a celkové struktury mana-
gementu organizace, a aby byla informační bezpečnost zohledněna při návrhu
procesů, informačních systémů a opatření. Očekává se, že zavedení systému
managementu informační bezpečnosti bude nastaveno v souladu s potřebami
organizace.
Tento dokument může být použit interními a externími
stranami k posuzování schopnosti organizace splnit její vlastní požadavky
informační bezpečnosti.
Pořadí, ve kterém jsou v tomto dokumentu požadavky
uvedeny, neodráží jejich důležitost ani nenaznačuje pořadí, ve kterém mají být
zavedeny. Položky seznamu jsou seřazeny pouze pro referenční účely.
ISO/IEC 27000 popisuje přehled a slovník systémů
managementu informační bezpečnosti, a odkazuje na řadu norem systému
managementu informační bezpečnosti (včetně ISO/IEC 27003[2],
ISO/IEC 27004[3] a ISO/IEC 27005[4]) se
souvisejícími termíny a definicemi.
0.2 Kompatibilita s jinými normami systémů
managementu
Tento dokument používá základní strukturu, identické názvy
článků, identický text, společné termíny a hlavní definice vymezené v příloze
SL směrnic ISO/IEC, část 1, konsolidovaný dodatek ISO, a proto
zachovává kompatibilitu s ostatními normami systému managementu, které
přijaly tuto přílohu SL.
Tento společný přístup podle přílohy SL bude užitečný pro ty
organizace, které se rozhodnou provozovat jediný systém managementu, který
splňuje požadavky dvou a více norem systému managementu.
Tento dokument specifikuje požadavky na ustavení, zavedení,
udržování a neustálé zlepšování systému mana-
gementu informační bezpečnosti v rámci
kontextu organizace. Tento dokument také zahrnuje požadavky na posu-
zování a ošetření rizik informační bezpečnosti, přizpůsobené
potřebám organizace. Požadavky tohoto dokumentu jsou obecné a jsou určené
pro použití ve všech organizacích bez ohledu na jejich typ, velikost a povahu
činností. Vyloučení jakýchkoli požadavků specifikovaných v kapitolách 4 až
10 je nepřijatelné, pokud organizace prohlašuje shodu s tímto dokumentem.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA