Nacházíte se na stránkách firmy Risk Analysis Consultants.
  ?
Informační centrum RACInfocentrum
Základní nabídka našich služebSlužby
Základní informace o našich řešeníchŘešení
Analýza a řízení rizik bezpečnosti informačních systémůCRAMM
ISMS Řízení bezpečnosti informací organizaceISMS/27000
RAC ISMS
RAC BCMS
RAC BASEL II
AS/NZS 4360
Bezpečnost česky
Nástroj pro podporu řízení bezpečnosti informací ve středních a velkých organizacíchRAMSES
Cyber-Ark
QualysGuard
SpectraGuard
Nepřetržité zajištění sledování bezpečnosti vůči InternetuRAC CISS
Bezpečnost IT v rámci životního cykluRAC ISSEC
Školení a vzdělávání v problematice bezpečnostiRAC Školení
Program partnerské podporyRAC PPP
RAC Obnova dat
EnCase
Řešení bezpečnosti do 3 dnůRAC 3d SSP
Kontrola a audit organizaceRAC Questor
On-line službye-RACionalita
Základní informace o Znaleckén ústavuZnalecký ústav
Experimentální laboratoř bezpečnostních technologií a forenzních analýzLaboratoř eFIS

Risk Analysis Consultants

RAC zavedlo BCMS u největšího výrobce hliníku ve střední Evropě

Zajímavosti z RAC SpectraGuard InfoDay 2011

Zajímavosti z RAC QualysGuard InfoDay 2011

 
Jste zde: Řešení > ISMS/27000 > ISO/IEC 27000 > ISO 27001

ISO/IEC 27001:2005

ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements byla oficiálně publikována 15. října 2005. Vydání této normy nahrazuje její předchozí verzi známou pod označením BS7799-2:2002.
Pokud má organizace již certifikovaný ISMS podle BS 7799-2 (v Česku je to pouze Eurotel Praha, s.r.o.), měla by kontaktovat svou certifikační agenturu a ta zajistí formální přechod k nové normě. Po poměrně pomalém startu se již množství certifikovaných organizací počítá na tisíce (www.xisec.com/....) a trend počtu certifikací je vzrůstající.
Cenová informace

Norma ISO/IEC 27001 si klade za cíl poskytnout doporučení, jak aplikovat ISO/IEC 27002 v rámci procesu ustavení, provozu, údržby a zlepšování systému řízení bezpečnosti informací (ISMS) v organizaci v souladu se systémy řízení kvality nebo bezpečnosti prostředí.

Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny také v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rozsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro celou organizaci.

Mezi hlavní aspekty této části normy, které pokrývá, patří:

  • harmonizace s normami pro další systémy řízení
  • kontinuální zajištění procesu zlepšování řízení bezpečnosti informací
  • celopodnikové řízení
  • zajištění souladu s právními a regulatorními předpisy
  • záruky za bezpečnost informací
  • zavedení principů OECD pro oblast bezpečnosti informačních systémů a sítí
Norma zavádí model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci.

Plánuj
Vytvoření bezpečnostní politiky, plánů, cílů, procesů a procedur souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace.
  • Vymezení rozsahu ISMS
  • Definování politiky ISMS
  • Určení systematického přístupu k hodnocení rizik
  • Identifikace rizik
  • Analýza a vyhodnocení rizik
  • Identifikace a vyhodnocení variant pro zvládání rizik
  • Výběr cílů opatření a jednotlivých opatření pro zvládání rizik
  • Získaní souhlasu vedení se zbytkovými riziky
  • Získání souhlasu vedení k zavedení a provozu ISMS
  • Příprava Prohlášení o aplikovatelnosti (SoA)

Dělej
Zavedení a využívání bezpečnostní politiky, řízení, procesů a procedur.
  • Formulace Plánu zvládání rizik (RTP)
  • Implementace Plánu zvládání rizik
  • Implementace bezpečnostních opatření
  • Určení postupů pro měření účinnosti zavedených opatření
  • Implementace školení a vzdělávacích programů
  • Řízení provozu ISMS
  • Řízení zdrojů ISMS
  • Implementace procedur pro zjištění/reakci na bezpečnostní incidenty

Kontroluj
Ověření úrovně, tam, kde je to možné, provádění procesu vůči bezpečnostní politice, cílům a praktické zkušenosti a oznámení výsledků řízení k posouzení.
  • Provedení monitorovacích procedur
  • Provedení pravidelných přezkoumání účinnosti ISMS
  • Měření účinnosti zavedených opatření
  • Přezkoumání úrovně zbytkového a akceptovatelného rizika
  • Provedení interního auditu ISMS
  • Pravidelná analýza řízení ISMS
  • Aktualizace bezpečnostních plánů
  • Zaznamenání činností a událostí s vlivem na ISMS

Jednej
Využití nápravných a preventivních činností, založených na výsledcích analýzy řízení tak, aby bylo dosaženo nepřetržitého zlepšování ISMS.
  • Implementace identifikovaných zlepšení ISMS
  • Provedení nápravných a preventivních akcí
  • Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami
  • Zajištění zlepšování dosažených cílů




Koupit:



Ke stažení
Obsah BS ISO/IEC 27001 (300kb)
Podmínky | Soukromí | Politika IMS © 2012 Risk Analysis Consultants