ISO/IEC 27002
ISO/IEC 27002:2013
ISO/IEC 27002:2013 je sbírka nejlepších bezpečnostních praktik a může být využita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. Aktuální verze normy “ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security management” je mezinárodně přijatý standard, sbírka nejlepších praktik z oblasti bezpečnosti informací.
35 cílů opatření
14 hlavních oddílů ISO/IEC 27002:2013 definuje 35 cílů (kontrolních) opatření pro ochranu informačních aktiv proti narušení jejich důvěrnosti, dostupnosti a integrity. V podstatě tyto cíle opatření zahrnují funkční požadavky pro architekturu bezpečnosti informací organizace.
Cíle opatření poskytují kvalitní základ pro definici sady “axiomů” pro bezpečnostní politiku. Ne všechny jsou aplikovatelné v každé organizaci a mohou se objevit požadavky na jejich přeformulování či přizpůsobení podle aktuálních potřeb organizace. Nicméně většina z nich je obecně použitelná.
100vky specifických opatření
ISO/IEC 27002 také popisuje nejlepší praktiky pro zajištění bezpečnosti informací, které by organizace měla vzít úvahu pro zajištění kontrolních cílů. Nová verze normy obsahuje 114 “základních” opatření, které se dále rozpadají na stovky specifických bezpečnostních opatření.
Popis opatření je strukturován následovně:
Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření.
Tento přístup zajišťuje, že norma je široce aplikovatelná a dává uživatelům velkou flexibilitu při implementaci. Nicméně toto přináší obtíže při certifikaci, kdy může být složité posoudit, zda jsou aktuální bezpečnostní opatření plně v souladu s normou. Navíc certifikace se týká zavedení ISMS a organizace je tak certifikována podle ISO/IEC 27001, které obsahuje shrnutí opatření z ISO/IEC 27002 vedle procesů k hodnocení rizik a výběru bezpečnostních opatření.
Rubriky
- Aktuality (36)
- Digitální forenzní analýza (5)
- Normy (44)
- Odborné články (19)
- RAMSES (23)
- Řízení bezpečnosti informací (62)
- Řízení kontinuity (37)
- Řízení rizik (48)
- Události (3)
- ZoKB (3)