Normy pre informačnú bezpečnosť - prehľad

OBSAH

• Normy informačnej bezpečnosti - prehľadný zoznam
• Certifikácia je konkurenčnou výhodou
• Desať noriem ISO v oblasti informačnej bezpečnosti, ktoré by ste mali poznať
• Ďalšie témy v skupine noriem ISO 2700x
• DQS - Čo pre vás môžeme urobiť

Normy pre informačnú bezpečnosť: Rodina noriem ISO 2700x

Jednotlivé normy pre informačnú bezpečnosť zo série ISO 2700x sa zaoberajú rôznymi témami v oblasti informačnej bezpečnosti. V tejto medzinárodnej norme sa napríklad uvádza ISO 27001 Systém riadenia bezpečnosti informácií (ISMS), ISO 27701 systém riadenia ochrany údajov, norma ISO 27017 poskytuje usmernenie k opatreniam informačnej bezpečnosti pre cloud computing a norma ISO 27005 poskytuje usmernenia pre riadenie rizík informačnej bezpečnosti.

Spoločnosti vo všetkých odvetviach môžu využívať systematicky štruktúrovaný prístup týchto noriem pre bezpečnosť informácií. Umožňuje chrániť dôverné údaje pred stratou a zneužitím a pomáha spoľahlivo identifikovať a znižovať (potenciálne) hrozby. Tento prístup pomáha zabezpečiť dostupnosť podnikových informačných systémov, čím prispieva k optimalizácii podnikových procesov, nákladov na IT a procesy a k minimalizácii obchodných rizík a rizík súvisiacich so zodpovednosťou.

Certifikácia je konkurenčnou výhodou

Certifikácia podľa normy ISO 27001, napríklad spoločnosťou DQS, si vyžaduje určitú prípravu a úsilie. Spoločnosť však poskytuje zdokumentovaný dôkaz, že spĺňa požiadavky na bezpečnosť informácií a zavádza opatrenia na ochranu citlivých podnikových údajov. To je jasná konkurenčná výhoda.

Desať noriem ISO týkajúcich sa bezpečnosti informácií, ktoré by ste mali poznať

Nasledujúci zoznam poskytuje informatívny prehľad o súčasnom stave noriem radu ISO 2700x v oblasti informačnej bezpečnosti. Všetky normy sú k dispozícii na zakúpenie na webovej stránke ISO.

ISO 27001 - Požiadavky na systémy riadenia informačnej bezpečnosti

V čase, keď sa s údajmi a informáciami obchoduje ako so vzácnym tovarom, je ich ochrana nevyhnutná. Optimálny základ pre účinnú implementáciu komplexnej bezpečnostnej stratégie poskytuje dobre štruktúrovaný systém riadenia informačnej bezpečnosti (ISMS) v súlade s normou ISO 27001. Ide o medzinárodne uznávanú normu pre informačnú bezpečnosť v súkromných, verejných alebo neziskových organizáciách, ktorá zahŕňa nielen aspekty bezpečnosti IT.

Systém riadenia bezpečnosti informácií podľa normy ISO 27001 definuje požiadavky, pravidlá a metódy na zaistenie bezpečnosti informácií, ktoré si v organizáciách vyžadujú ochranu. Norma ISO poskytuje model na vytvorenie, implementáciu, monitorovanie a zlepšovanie úrovne ochrany. Cieľom je identifikovať potenciálne riziká pre spoločnosť, analyzovať ich a zabezpečiť ich kontrolu prostredníctvom vhodných opatrení. Norma ISO 27001 formuluje požiadavky na takýto systém riadenia, ktoré sa auditujú v rámci externého certifikačného procesu .

Tento cieľ môžete dosiahnuť pomocou tejto normy:

• Urobiť z bezpečnosti citlivých informácií neoddeliteľnú súčasť podnikových procesov.
• Preventívne zabezpečenie cieľov ochrany dôvernosti, dostupnosti a integrity informácií
• Zachovanie kontinuity podnikania prostredníctvom neustáleho zlepšovania úrovne bezpečnosti
• Senzibilizácia zamestnancov a výrazné zvýšenie bezpečnostného povedomia na všetkých úrovniach spoločnosti
• Budovanie dôvery u zainteresovaných strán
• Zavedenie účinného procesu riadenia rizík

ISO 27019 - Opatrenia na zaistenie bezpečnosti informácií pri dodávkach energie.

Norma ISO 27019 o informačnej bezpečnosti formuluje doplnkové opatrenia pre sektor energetiky.

Pomáha zabezpečiť elektronické systémy riadenia procesov používané na riadenie a monitorovanie výroby, prenosu, skladovania a distribúcie elektrickej energie, plynu, ropy a tepla a na riadenie súvisiacich podporných procesov.

Čo môžete s touto normou robiť:

• Systematicky zabezpečiť ciele ochrany dôvernosti, dostupnosti a integrity informácií.
• Neustále zlepšovať úroveň bezpečnosti a odolnosť voči neoprávnenému prístupu.
• Dosiahnuť väčšiu bezpečnosť činnosti a právnu istotu, zlepšiť dodržiavanie príslušných požiadaviek na zhodu.
• Zvýšiť bezpečnostné povedomie zamestnancov a manažérov
• Dosiahnuť vysokú úroveň dôvery a lojality medzi všetkými zainteresovanými stranami
• Preukázať uznávaný dôkaz o účinnosti vašich bezpečnostných opatrení úradom, ako je napríklad nemecká Spolková sieťová agentúra (BNetzA).

ISO 27006 - Požiadavky na certifikačné orgány

Norma ISO 27006 je určená pre orgány, ako je napríklad DQS, ktoré vykonávajú certifikáciu systémov riadenia bezpečnosti informácií. Akreditačná norma ISO 27006 opisuje požiadavky, ktoré musia certifikačné orgány dodržiavať pri posudzovaní systémov riadenia svojich klientov podľa normy ISO 27001 na účely certifikácie.

Patrí sem napr. preukázanie špecifikovaného audítorského úsilia alebo špecifikácie týkajúce sa kvalifikácie audítorov. Akreditačné procesy uvedené v norme zaručujú, že certifikáty ISO 27001 vydané akreditovanými certifikačnými orgánmi majú medzinárodnú platnosť.

Čo môžete dosiahnuť pomocou tejto normy:

• Jednotné kritériá pre postupy certifikačných, dozorných a recertifikačných auditov
• Zabezpečiť platnosť certifikátov ISO 27001
• Zabezpečiť minimálne požiadavky na náročnosť auditu a kvalifikáciu pracovníkov, ktorí vypočítavajú a vykonávajú certifikačné postupy

ISO 27002 - Usmernenie ku kontrolám informačnej bezpečnosti

Systém riadenia informačnej bezpečnosti (ISMS) podľa normy ISO 27001 obsahuje normatívnu prílohu A: Referenčné ciele kontroly a kontroly. Táto príloha obsahuje konkrétne opatrenia, ktoré sa majú implementovať ako súčasť systému riadenia, podľa toho, čo je relevantné pre organizáciu. Norma ISO 27002 predstavuje usmernenie s odporúčaniami na implementáciu opatrení z normy ISO 27001.

Usmernenie bolo komplexne revidované a aktualizované začiatkom roka 2022. Nové vydanie poskytuje manažérom informačnej bezpečnosti presné usmernenia na implementáciu, aby sa zabezpečilo, že sa nezabudne na žiadne dôležité opatrenia na riešenie rizík informačnej bezpečnosti.

Môžete to urobiť pomocou normy:

• Podpora pre implementáciu normy ISO 27001
• Implementácia odporúčaní pre opatrenia v prílohe A normy ISO 27001

ISO 27000 - Prehľad a slovník systémov riadenia bezpečnosti informácií

Norma ISO 27000 obsahuje termíny a definície, ktoré sa používajú v sérii noriem ISO 2700X. Norma ISO 27000 poskytuje prehľad systémov riadenia bezpečnosti informácií a série noriem ISO 2700x s ich normami pre bezpečnosť informácií.

V slovníku sú (technické) termíny definované explicitne a formálne.

Čo môžete robiť s touto normou:

• Slovník: pokrytie väčšiny technických termínov používaných v sérii noriem ISO2700x v oblasti informačnej bezpečnosti.
• Jasnosť terminológie
• Jasné porozumenie slovnej zásoby medzi posudzovateľmi a hodnotiteľmi ("spoločný jazyk").
• Prehľad systémov riadenia informačnej bezpečnosti: predstavenie informačnej bezpečnosti, riadenia rizík a bezpečnosti a systémov riadenia

ISO 27701 - Usmernenie k riadeniu ochrany údajov

Norma pre informačnú bezpečnosť sa konkrétne týka ochrany osobných údajov ISO 27701 špecifikuje systém riadenia ochrany údajov založený na normách ISO 27001, ISO 27002 (kontroly bezpečnosti informácií) a ISO 29100 (rámec ochrany údajov), ktorý sa má primerane zaoberať spracovaním osobných údajov aj bezpečnosťou informácií. To sa vzťahuje na prevádzkovateľov aj spracovateľov osobných údajov.

Ako môžete uspieť s touto normou:

• Lepšie riadenie osobných údajov a bezpečnosť informácií
• Jednoduchšie uplatňovanie spoločných zásad riadenia informačných rizík na osobné údaje
• Zosúladenie a rozšírenie kontrolných mechanizmov v rámci normy ISO 27001, ako aj súvisiacej normy ISO 27002

ISO 27017 - Sprievodca opatreniami na zabezpečenie informácií v cloudových službách

Norma ISO 27017 poskytuje usmernenie k opatreniam informačnej bezpečnosti v cloud computingu v rámci noriem pre informačnú bezpečnosť.

Odporúča, podporuje a poskytuje ďalšie opatrenia na implementáciu kontrol bezpečnosti informácií špecifických pre cloudové služby.

Čo môžete dosiahnuť pomocou tejto normy:

• Pochopenie aspektov informačnej bezpečnosti cloud computingu.
• Navrhnúť a implementovať kontroly informačnej bezpečnosti špecifické pre cloud
• Kontrolovať možnosti výberu, implementácie a riadenia informačnej bezpečnosti pre cloud computing.

ISO 27018 - Usmernenie k ochrane údajov v cloudových službách.

Norma ISO 27018 poskytuje návod, ako zabezpečiť, aby poskytovatelia cloudových služieb ponúkali vhodné kontroly informačnej bezpečnosti na ochranu súkromia klientov svojich zákazníkov zabezpečením zverených osobných údajov.

Na túto normu nadväzuje norma ISO 27017 (Opatrenia informačnej bezpečnosti v cloudových službách), ktorá sa zaoberá inými aspektmi informačnej bezpečnosti cloud computingu, než je len ochrana údajov.

Tu sa dozviete, čo môžete s touto normou urobiť:

• Zvoľte kontrolné mechanizmy ochrany PII ako súčasť implementácie systému riadenia bezpečnosti informácií v cloud computingu na základe normy ISO 27001.
• Implementujte všeobecne akceptované kontroly ochrany osobných údajov.
• Prehĺbiť si znalosti, keďže norma vychádza z normy ISO 27002 a v niektorých oblastiach rozširuje jej všeobecné rady.
• Prepojenie zásad ochrany osobných údajov OECD zakotvených vo viacerých zákonoch a nariadeniach o ochrane údajov.

ISO 27005 - Usmernenie k riadeniu rizík informačnej bezpečnosti.

Norma ISO 27005 poskytuje usmernenie k riadeniu rizík informačnej bezpečnosti a podporuje všeobecné koncepcie v tejto oblasti stanovené v norme ISO 27001.

Norma ISO 27005 je určená aj na podporu implementácie informačnej bezpečnosti založenej na koncepcii riadenia rizík.

Môžete tak urobiť pomocou tejto normy:

• Implementácia informačnej bezpečnosti na základe koncepcie riadenia rizík.
• Definícia kontextu riadenia rizík
• Kvantitatívne alebo kvalitatívne posúdenie (t. j. identifikácia, analýza a hodnotenie) relevantných informačných rizík.
• Priebežné monitorovanie a preskúmanie rizík, ošetrení rizík, požiadaviek a kritérií
• Vhodné zaobchádzanie s rizikami
• Priebežná komunikácia všetkých zainteresovaných strán

ISO 27007 - Sprievodca auditovaním ISMS

ISO 27007 je príručka na vykonávanie auditov a je určená pre interných a externých audítorov, ktorí posudzujú ISMS podľa normy ISO/IEC 27001.

Príručka je vo veľkej miere založená na Príručke na auditovanie systémov manažérstva (ISO 19011) a poskytuje ďalšie usmernenia pre systém manažérstva informačnej bezpečnosti (ISMS).

Tu sa dozviete, ako môžete s normou uspieť:

• Usmernenie špeciálne pre audity ISMS podľa normy ISO 27001
• Usmernenie k plánovaniu a vykonávaniu auditov integrované z normy ISO 19011
• Dôležité informácie o kompetenciách audítorov ISMS
• Pochopenie a vykonávanie auditov ISMS

DQS - čo pre vás môžeme urobiť

Spoločnosť DQS je popredným špecialistom na certifikáciu systémov riadenia a procesov od roku 1985. Odvtedy je história spoločnosti DQS úzko spätá s históriou normy ISO 9001. Svoje celosvetové know-how a rozsiahle znalosti noriem prinášame našim zákazníkom počas približne 30 000 dní auditu ročne. Takže sa môžete presvedčiť, aké sú vaše možnosti.

Dôvera a odborné znalosti

Naše texty a biele knihy píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Rovnako aj prehľad noriem informačnej bezpečnosti. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, neváhajte nás kontaktovať.

Normy informačnej bezpečnosti: Ďalšie témy v skupine noriem ISO 2700X

ISO 27003 - Sprievodca vývojom a implementáciou ISMS

ISO/IEC 27003:2017

Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Návod.

ISO 27004 - Návod na metódy merania riadenia bezpečnosti informácií

ISO/IEC 27004:2016

Informačné technológie - Bezpečnostné techniky - Manažérstvo informačnej bezpečnosti - Monitorovanie, meranie, analýza a hodnotenie.

ISO 27008 - Návod na hodnotenie opatrení informačnej bezpečnosti.

ISO/IEC TS 27008:2019

Informačné technológie - Bezpečnostné techniky - Pokyny na hodnotenie kontrolných mechanizmov informačnej bezpečnosti

ISO 27009 - Návod na aplikáciu systému riadenia informácií v konkrétnom sektore

ISO/IEC 27009:2020

Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Aplikácia normy ISO/IEC 27001 špecifická pre daný sektor - Požiadavky

ISO 27010 - Návod na riadenie informačnej bezpečnosti pre medzisektorovú a medziorganizačnú komunikáciu

ISO/IEC 27010:2015

Informačné technológie - Bezpečnostné techniky - Riadenie informačnej bezpečnosti pre medzisektorovú a medziorganizačnú komunikáciu

ISO 27011 - Návod na riadenie bezpečnosti informácií v telekomunikačnom sektore

ISO/IEC 27011:2016

Informačné technológie - Bezpečnostné techniky - Kódex praxe pre riadenie informačnej bezpečnosti založený na ISO/IEC 27002 pre telekomunikačné organizácie

ISO 27013 - Návod na integrovanú implementáciu ISMS a riadenia služieb IT

ISO/IEC 27013:2021

Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Návod na integrovanú implementáciu ISO/IEC 27001 a ISO/IEC 20000-1

ISO 27014 - "Riadenie" bezpečnosti informácií

ISO/IEC 27014:2020

Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Riadenie bezpečnosti informácií

ISO 27016 - Ekonomika riadenia informačnej bezpečnosti

ISO/IEC TR 27016:2014

Informačné technológie - Bezpečnostné techniky - Manažment informačnej bezpečnosti - Ekonomika organizácie

ISO 27021 - Požiadavky na spôsobilosť odborníkov v oblasti ISMS

ISO/IEC 27021:2017/AMD 1:2021

Techniky - Požiadavky na spôsobilosť odborníkov na systémy manažérstva bezpečnosti informácií - Zmena 1: Doplnenie článkov alebo podčlánkov normy ISO/IEC 27001:2013 o požiadavky na spôsobilosť

ISO 27031 - Usmernenie k zabezpečeniu kontinuity činností

ISO/IEC 27031:2011

Informačné technológie - Bezpečnostné techniky - Pokyny na pripravenosť informačných a komunikačných technológií na zabezpečenie kontinuity činností

TIP: Prečítajte si náš blogový príspevok o riadení kontinuity činností, v ktorom sa dozviete, čo odporúča norma ISO 22301 na zabezpečenie ďalšej existencie spoločnosti vo výnimočných situáciách.

ISO 27032 - Sprievodca kybernetickou bezpečnosťou

ISO/IEC 27032:2012

Informačné technológie - Bezpečnostné techniky - Pokyny pre kybernetickú bezpečnosť

ISO 27033 - Usmernenie k bezpečnosti sietí

ISO/IEC 27033

Informačné technológie - Bezpečnostné techniky - Sieťová bezpečnosť
Časť 1: Prehľad a pojmy, Časť 2: Usmernenia na návrh a implementáciu bezpečnosti siete, Časť 3: Referenčné sieťové scenáre - Hrozby, techniky návrhu a otázky kontroly, Časť 4: Zabezpečenie komunikácie medzi sieťami pomocou bezpečnostných brán, Časť 5: Zabezpečenie komunikácie medzi sieťami pomocou virtuálnych privátnych sietí (VPN), Časť 6: Zabezpečenie bezdrôtového prístupu do siete IP

ISO 27034 - Usmernenie k bezpečnosti aplikácií

ISO/IEC 27034

Informačné technológie - Bezpečnostné techniky - Bezpečnosť aplikácií
Časť 1: Prehľad a pojmy, Časť 2: Normatívny rámec organizácie, Časť 3: Proces riadenia bezpečnosti aplikácií, Časť 4: Validácia a overovanie, Časť 5: Dátová štruktúra protokolov a kontrol bezpečnosti aplikácií, Časť 6: Štúdie o obsadení, Časť 7: Rámec predpovede zabezpečenia

ISO 27035 - Návod na riadenie incidentov informačnej bezpečnosti

ISO/IEC 27035

Informačné technológie - Bezpečnostné postupy IT - Riadenie incidentov informačnej bezpečnosti
Časť 1: Základy riadenia incidentov, Časť 2: Usmernenia pre plánovanie a prípravu reakcie na incidenty, Časť 3: Usmernenia pre reakciu na incidenty informačných a komunikačných technológií (návrh)

ISO 27036 - Usmernenie k vzťahom s dodávateľmi

ISO/IEC 27036

Informačné technológie - Bezpečnostné techniky - Bezpečnosť informácií pre dodávateľské vzťahy
Časť 1: Prehľad a pojmy, časť 2: Požiadavky, časť 3: Usmernenia pre bezpečnosť dodávateľského reťazca informačných a komunikačných technológií, časť 4: Usmernenia pre bezpečnosť cloudových služieb

ISO 27037 - Pokyny na zaobchádzanie s digitálnymi dôkazmi.

ISO/IEC 27037:2012

Informačné technológie - Bezpečnostné techniky - Pokyny na identifikáciu, zber, získavanie a uchovávanie digitálnych dôkazov

ISO 27038 - Špecifikácia na redigovanie digitálnych záznamov

ISO/IEC 27038:2014

Informačné technológie - Bezpečnostné techniky - Špecifikácia na digitálnu redakciu

ISO 27039 - Usmernenie k systémom na zisťovanie narušenia (IDPS)

ISO/IEC 27039:2015

Informačné technológie - Bezpečnostné techniky - Výber, nasadenie a prevádzka systémov detekcie a prevencie vniknutia (IDPS)

ISO 27040 - Usmernenie k bezpečnosti úložísk

ISO/IEC 27040:2015

Informačné technológie - Bezpečnostné techniky - Bezpečnosť úložísk

ISO 27041 - Návod na metódy vyšetrovania incidentov

ISO/IEC 27041:2015

Informačné technológie - Bezpečnostné techniky - Návod na zabezpečenie vhodnosti a primeranosti metódy vyšetrovania incidentov

ISO 27042 - Návod na analýzu a interpretáciu digitálnych dôkazov.

ISO/IEC 27042:2015

Informačné technológie - Bezpečnostné techniky - Pokyny na analýzu a interpretáciu digitálnych dôkazov

ISO 27043 - Návod na postupy vyšetrovania incidentov.

ISO/IEC 27043:2015

Informačné technológie - Bezpečnostné techniky - Zásady a procesy vyšetrovania incidentov

ISO 27050 - Usmernenia k elektronickej detekcii

ISO/IEC 27050

Informačné technológie - Elektronické zisťovanie
Časť 1: Prehľad a pojmy, Časť 2: Usmernenia pre správu a riadenie elektronického zisťovania, Časť 3: Kódex praxe pre elektronické zisťovanie

ISO 27102 - Usmernenie o kybernetickom poistení

ISO/IEC 27102:2019

Riadenie informačnej bezpečnosti - Usmernenia pre kybernetické poistenie

ISO 27103 - Sprievodca kybernetickou bezpečnosťou a normami ISO/IEC

ISO/IEC TR 27103:2018

Informačné technológie - Bezpečnostné techniky - Kybernetická bezpečnosť a normy ISO a IEC

ISO 27550 - Technika ochrany súkromia pre procesy životného cyklu systému

ISO/IEC TR 27550:2019-09

Informačné technológie - Bezpečnostné techniky - Inžinierstvo súkromia pre procesy životného cyklu systému

ISO 27799 - Manažment bezpečnosti informácií v sektore zdravotníctva

ISO 27799:2016

Zdravotnícka informatika - Manažment bezpečnosti informácií v zdravotníctve s využitím ISO/IEC 27002