ISO 27001:2005
je certifikovatelný standard a obsahuje specifikaci pro systémy řízení bezpečnosti informacíFunguje jako základ pro posuzování systému řízení bezpečnosti informací (ISMS - Information Security Management System) pro organizaci jako celek nebo jen její část. Lze ji použít jako základ pro formalizovaný postup k certifikaci.
Důležitou součástí normy ISO 27001 je popis k vybudování a provozu systému řízení bezpečnosti informací:
Organizace musejí provádět analýzu rizik, aby bylo možné určit specificky optimální bezpečnostní cíle a opatření, implementovat je a aplikovat na vlastní požadavky. Po jejich identifikaci je nutné je srozumitelně dokumentovat pro všechny osoby působící v organizaci, na které budou aplikovány. Tyto podklady musejí být k dispozici pro manažery, zaměstnance a vybrané nezávislé strany (např. interní auditoři, certifikační auditoři atd.).
Dokumentované bezpečnostní cíle a opatření, dokumentace bezpečnostní politiky a postupy, stejně jako všechny ostatní záznamy důležité z hlediska IS, se označují jako systém řízení bezpečnosti informací organizace.
Příloha A ISO 27001 sleduje strukturu normy ISO 17799, jako návod k řízení bezpečnosti informací. Seznam bezpečnostních cílů a opatření této části normy ISO 27001 ovšem není vyčerpávající. Podle specifik organizace může vyplynout nutnost konkretizovat další bezpečnostní cíle a opatření.
Společnost by měla mít minimálně jednoho pracovníka znalého problematikyi ISMS aby mohl efektivně spolupracovat jak při zavádění systému a konečné certifikaci, tak při správě, údržbě a trvalém zlepšování systému s tím, že je komunikačním partnerem pro vedení organizace tak pro výkonou zaměstnaneckou složku.. Pro tento účel je nabízen a hojně využíván mezinárodně akreditovaný vzdělávací program „ Manažer IS“ ( informační bezpečnosti ) od spol CIS-Certificaion & Information Security Services.
Co Vám přinese zavedení a certifikace ISO 27001 ?- Zmapování informační struktury společnosti, včetně infrastruktury, budov, prostředí se všemi praktickými aspekty od poplašného sytému, přes požární ochranu, až po kontrolu přístupu
- Zefektivnění a vytvoření chybějících procesů nejen v oblasti informační bezpečnosti
- Uvědomění si bezpečnostních rizik
- Zahájení aktivní a efektivní ochrany před rizikovými faktory
- Ochranu životních firemních hodnot – samu podstatu společnosti
- Průběžnou optimalizaci systému – pravidelné audity
- Nižší náklady a vyšší produkci
- Graficky reprezentativní certifikát vysokého standardu od světově uznávané společnosti v libovolné jazykové verzi
- Konkurenční výhodu
- Rozšíření okruhu zákazníků
- Důvěru trhu
| 1987 | Počátek normy ISO17799 / ISO 27001 sahá do roku 1987. Tehdy byl ve Velké Británii na Ministerstvu obchodu a průmyslu založen Commercial Computer Security Center (CCSC). CCSC sledoval dva základní přístupy k tématu informační bezpečnosti: |
| 1989 | První spočíval ve vytvoření mezinárodně uznávaného souboru pravidel k hodnocení bezpečnostních kritérií včetně certifikačního schématu pro produkty s bezpečnostním aspektem. Tak byl vytvořen základ pro ITSEC a schéma „UK ITSEC“. |
| 1989 | Druhý stěžejní úkol spočíval v tom, poskytnout uživatelům sbírku praktických bezpečnostních opatření. Výsledkem byl „Users Code of Practice“, poprvé vydaný v roce 1989. |
| Cíle CCSC | |
| 1990 - 1995 |
„Users Code of Practice“ vyvinul National Computing Center (NCC) UK a později konsorcium, jehož reprezentanti se rekrutovali hlavně z britského průmyslu.
Záměrem bylo dílo s preambulemi Zámerom bolo dielo s preambulami
|
| 1995 |
Konečný výsledek byl nejprve zveřejněn jako „British Standard’s guidance“ dokument PD 0003 s pracovním názvem „A code of practice for information security management“. Po vykonání příslušných postupů se z tohoto dokumentu stal standard BS 7799:1995. |
| 1998 | Druhá část BS7799-2:1998 byla připojena v únoru 1998. Po rozsáhlém přepracování a po fázích veřejných konzultací počínaje listopadem 1997 bylo v dubnu 1999 zveřejněno znění první revize BS 7799:1999. |
| 1999 - 2000 | Část 1 BS 7799 byla v roce 1999 navržena na standard ISO. V říjnu 2000 bylo provedeno osm nepatrných změn a následně v prosinci 2000 publikována norma ISO/IEC 17799:2000. |
| 2002 | V tomto roce vypracoval BSI/DISC také část 2, který měl kritéria auditu dostat do stavu, který umožňuje standardizaci ISO. BS 7799-2 je zveřejněn v novém zpracování. |
| 2005 | Je zveřejněna norma ISO 17799:2005. |
| 2005 | Je zveřejněna norma ISO 27001, nepatrné změny vůči BS7799-2:2002. |
| 2006 | ČSN ISO/IEC 27001:2006 (36 9790) jako česká státní norma |