BLOG - Co můžeme očekávat od nové revize norem ISO/IEC 27001 a ISO/IEC 27002?
Normy ISO/IEC 27001 a ISO/IEC 27002 jsou v současné době revidovány (poslední verze byla zveřejněna v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení bezpečnosti informací, již tyto novinky zaregistrovaly.
Norma ISO/IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).
Hlavní změnou, kterou nová verze přináší, je sloučení opatření do 4 skupin:
1. Organizační opatření
2. Personální opatření
3. Fyzická opatření
4. Technická opatření
Existuje také řada nových oblastí, pro které bude vyžadováno řízení a opatření (pokud se v organizaci uplatňují), např:
Řízení hrozeb (Opatření: Informace týkající se hrozeb pro bezpečnost informací by měly být shromažďovány a analyzovány za účelem vypracování zprávy o hrozbách).
Bezpečnost informací při využívání cloudových služeb (Opatření: Procesy pro získávání, využívání, správu a ukončení cloudových služeb by měly být navrženy v souladu s požadavky organizace na bezpečnost informací.)
Připravenost ICT pro zajištění kontinuity podnikání (Opatření: Připravenost ICT by měla být plánována, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT).
Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se zabránilo neoprávněnému fyzickému přístupu.)
Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvářeny, dokumentovány, implementovány, monitorovány a přezkoumávány.)
Vymazání informací (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřeba.)
Maskování dat (Opatření: Maskování dat by mělo být používáno v souladu s politikou organizace pro řízení přístupu a obchodními požadavky s přihlédnutím k legislativním požadavkům.)
Prevence úniku dat (Opatření: U systémů, sítí a koncových zařízení, které zpracovávají, ukládají nebo přenášejí citlivé informace, by měla být uplatňována opatření pro prevenci úniku dat.)
Autor: Martin Kašša, auditor ISO/IEC 27001
Podobné články
BLOG - Jsou normy řady STN EN 1090 závazné?
Harmonizované normy STN EN 1090 jsou stanoveny evropskými normalizačními organizacemi, které stanovují metody a kritéria pro posuzování parametrů a základních vlastností stavebních výrobků.
Zobrazit víc
BLOG - Jak probíhá implementace požadavků normy STN EN 1090?
Výrobci stavebních ocelových a hliníkových konstrukcí a jejich prvků musí podle platného stavebního zákona splňovat požadavky normy EN 1090, jinak nejsou oprávněni tyto výrobky uvádět na trh. Na základě splnění požadavků výše uvedených norem vydá notifikovaná osoba výrobci certifikát shody řízení výroby, který výrobce opravňuje k uvedení výrobků na trh, tj. k vydání prohlášení o shodě výrobku a označení CE, jak to vyžaduje příslušné evropské nařízení. Postup zavedení a následné certifikace postupu výroby ocelových a hliníkových konstrukcí podle požadavků normy EN 1090 lze popsat v následujících krocích: ...
Zobrazit víc