Řada norem ISO/IEC 27000
Řada norem ISO/IEC 27000
ISO (International Organization for Standardization) rezervovala sérii ISO 27000 pro normy z oblasti bezpečnosti informací. Podobně, jako tomu je u norem pro řízení kvality série ISO 9000. Na základě standardu “ISO Guide 83” publikovaného v dubnu 2012, mají všechny standardy rodiny 27K definovanou jednotnou strukturu a pravidla pro začlenění specifických požadavků.
Do této doby byly publikovány následující normy:
ISO 27000 – definuje pojmy a terminologický slovník pro všechny ostatní normy z této série.
ISO 27001 (BS7799-2) – hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Poslední revize normy byla publikována v říjnu 2013.
ISO 27002 (ISO/IEC 17799 & BS7799-1) – norma byla prvně publikována v červnu 2005 jako ISO/IEC 17799:2005. V červenci 2007 došlo k jejímu přejmenování na ISO/IEC 27002:2005, kdy obsah předchozí normy byl zachován. Poslední revize normy byla vydána v říjnu 2013.
ISO 27003 – návod pro návrh a zavedení ISMS v souladu s ISO 27001.
ISO 27004 – norma byla publikována v roce 2009 a následně revidována v roce 2016. Normu přeložila společnost Risk Analysis Consultants.
ISO 27005 – norma byla publikována v červnu 2008 pod názvem „Information technology – Security techniques – Information security risk management“. Poslední revize normy byla provedena v roce 2018.
ISO 27006 – norma byla poprvé publikována v březnu 2007 a naposledy revidována v roce 2015. Normu přeložila společnost Risk Analysis Consultants. Český překlad je k dispozici na stránkách ÚNMZ.
ISO 27007 – revize normy byla publikována v roce 2017 pod názvem „Information technology — Security techniques — Guidelines for information security management systems auditing“.
ISO 27008 – norma byla publikována v listopadu 2011 pod názvem „Information technology — Security techniques — Guidelines for auditors on information security management systems controls“. Obsahuje doporučení auditorům ISMS a doplňuje ISO 27007.
ISO 27009 – norma byla publikována v roce 2016 pod názvem “ Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements“ Definuje požadavky pro používání ISO/IEC 27001 ve specifických odvětvích.
ISO 27010 – norma byla publikována v dubnu 2012 a revidována v roce 2015. Poskytuje doporučení pro řízení bezpečnosti informací při interní a mimo firemní komunikaci.
ISO 27011 – norma byla publikována v roce 2008 a revidována v roce 2016. Obsahuje doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů.
ISO 27013 – norma byla publikována v říjnu 2012. Norma poskytuje doporučení pro implementaci ISO/IEC 20000 a ISO/IEC 27001.Poslední revize normy byla vydána v prosinci 2015.
ISO 27014 – norma byla publikována v první polovině roku 2013 pod názvem „ITU-T Recommendation X.1054 & ISO/IEC 27014:2013 Information technology — Security techniques — Governance of information security“. Norma organizacím poskytuje doporučení při návrhu Information Security Governance.
ISO 27016 – norma byla publikována v roce 2014 jako technická zpráva (Technical Report) pod názvem ISO/IEC TR 27016:2014 — IT Security — Security techniques — Information security management – Organizational economics. Poskytuje doporučení pro nastavení bezpečnostního programu s ohledem na předpokládané finanční výsledky.
ISO 27017 – norma byla publikována na koci roku 2015 pod názvem ISO/IEC 27017:2015 / ITU-T X.1631 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services a poskytuje doporučení pro zabezpečení cloud computingu
ISO 27018 – norma byla publikována v srpnu 2014 pod názvem ISO/IEC 27018:2014 —Information technology — Security techniques — Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors. Poskytovatelům cloudových služeb dává vhodná bezpečnostní opatření pro zabezpečení soukromí zákazníků.
ISO 27019 – revize normy byla publikována v roce 2017 pod názvem „ISO/IEC 27019:2017 — Information technology — Security techniques — Information security controls for the energy utility industry“. Norma pomáhá organizacím v energetickém průmyslu interpretovat a aplikovat normu ISO/IEC 27002, aby byla zajištěna bezpečnost jejich systémů pro elektronické řízení procesů.
ISO 27021 – norma byla publikována v říjnu 2017 pod názvem ISO/IEC 27021:2017 — Information technology — Security techniques — Competence requirements for information security management systems professionals. Norma stanovuje požadavky na odbornou způsobilost specialistů z oblasti ISMS.
ISO 27023 – norma byla publikována v červenci 2015 pod názvem ISO/IEC TR 27023:2015 Information technology — Security techniques — Mapping the Revised Editions of ISO/IEC 27001 and ISO/IEC 27002 a srovnává poslední vydání norem ISO/IEC 27001 a ISO/IEC 27002 s vydáními předchozími.
ISO 27031 – norma byla publikována v březnu 2011 pod názvem „ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communications technology readiness for business continuity“. Obsahuje doporučení pro zajištění kontinuity činností organizace (business continuity).
ISO 27032 – norma pod označením „Guidelines for cybersecurity“ vyšla v červnu 2012, obsahuje bezpečnostní doporučení týkající se kyberprostoru.
ISO 27033 – soubor norem poskytující doporučení pro implementaci protiopatření vztahujících se k bezpečnosti sítí. Prozatím bylo vydáno šest částí normy.
ISO 27034 – soubor norem poskytující doporučení pro bezpečnou tvorbu, implementaci a užívání aplikačního softwaru. Byly vydány čtyři části normy.
ISO 27035 – revize normy byla publikována v roce 2016 pod názvem „Information security incident management“. Norma se věnuje řízení incidentů bezpečnosti informací.
ISO 27036 – soubor norem publikovaný v roce 2013 pod názvem „Information security for supplier relationships“ poskytuje doporučení pro hodnocení a řízení informačních rizik spojených s pořizováním zboží a služeb od dodavatelů.
ISO 27037 – norma byla publikována v říjnu 2012 pod názvem „ISO/IEC 27037:2012 — Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence“. Norma obsahuje doporučení pro zjišťování, sběr, získávání a uchovávání digitálních důkazů.
ISO 27038 – norma byla publikována v roce 2014 pod názvem „ISO/IEC 27038:2014 — Information technology — Security techniques — Specification for digital redaction“. Norma obsahuje doporučení pro publikování digitálních dokumentů.
ISO 27039 – norma byla publikována v roce 2015 pod názvem „ISO/IEC 27039:2015 — Information technology — Security techniques — Selection, deployment and operation of intrusion detection [and prevention] systems (IDPS)“ a obsahuje doporučení pro výběr, nasazení a provoz systémů pro detekci a prevenci bezpečnostních průniků (Intrusion Detection and Prevention Systems – IDPS).
ISO 27040 – norma byla publikována v roce 2015 pod názvem „ISO/IEC 27040:2015 – Information technology – Security techniques – Storage security“ a obsahuje doporučení pro bezpečné ukládání dat.
ISO 27041 – norma byla publikována v roce 2015 pod názvem „ISO/IEC 27041:2015 — Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative methods“ a obsahuje doporučení pro výběr forenzních metod pro zajištění a zkoumání digitálních důkazů.
ISO 27042 – norma byla publikována v roce 2015 pod názvem „ISO/IEC 27042:2015 — Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence“ a obsahuje doporučení pro analýzu a vyhodnocování digitálních důkazů.
ISO 27043 – norma byla publikována v roce 2015 pod názvem „ISO/IEC 27043:2015 — Information technology — Security techniques — Incident investigation principles and processes“ a shrnuje zásady a postupy při vyšetřování incidentů s využitím digitálních důkazů.
ISO 27050 – soubor norem publikovaný v roce 2016 pod názvem „Electronic discovery“ se zabývá problematikou zkoumání elektronických stop (Electronic discovery).
ISO 27799 – doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních.
Stažené normy
ISO 27015 – norma byla publikována v listopadu 2012 pod názvem „ISO/IEC TR 27015:2012 Information technology — Security techniques — Information security management guidelines for financial services“.Obsahuje doporučení a požadavky na řízení bezpečnosti informací v prostředí finančních institucí (banky, pojišťovny apod.). Kvůli nízkému přínosu byla norma na návrh orgánů z finančního sektoru v roce 2018 stažena.
Rubriky
- Aktuality (36)
- Digitální forenzní analýza (5)
- Normy (44)
- Odborné články (19)
- RAMSES (23)
- Řízení bezpečnosti informací (62)
- Řízení kontinuity (37)
- Řízení rizik (48)
- Události (3)
- ZoKB (3)