ISO 27001 základní pojmy
ISO 27001 je mezinárodní norma pro řízení informační bezpečnosti, která stanoví požadavky na ochranu důvěrnosti, integrity a dostupnosti informací v organizaci. Norma ISO 27001 se zaměřuje na řízení rizik týkajících se informační bezpečnosti a poskytuje rámec pro implementaci a správu systému řízení informační bezpečnosti (ISMS).
V této normě jsou definovány základní pojmy a principy související s informační bezpečností, které jsou nezbytné pro úspěšnou implementaci a správu ISMS v organizaci. Tyto pojmy zahrnují audit, bezpečnost informací, dostupnost, vnější a vnitřní kontext, důvěrnost, hrozbu informačního systému, integritu, ISMS, organizaci, proces, riziko a zranitelnost.
Následující pojmy jsou základními koncepty, které jsou důležité pro pochopení ISMS podle ISO 27001:
Bezpečnost informací (information security) – je ochrana informací před neoprávněným přístupem, ztrátou, krádeží, poškozením nebo zneužitím.
Dostupnost (availability) – je zajištění, že informace jsou k dispozici pro oprávněné uživatele, když jsou potřebné. Dostupnost je jedním z tří základních prvků informační bezpečnosti, spolu s důvěrností a integritou.
Důvěrnost (confidentiality)– je zajištění, že informace jsou dostupné pouze pro oprávněné uživatele. Důvěrnost je jedním z tří základních prvků informační bezpečnosti, spolu s integritou a dostupností.
Hrozba (threat) – je pravděpodobnost, že bude narušena bezpečnost informačního systému organizace. Tyto hrozby mohou zahrnovat například počítačové viry, phishing nebo kybernetické útoky.
Integrita (integrity) – je zajištění, že informace jsou přesné a úplné. Integrita je jedním z tří základních prvků informační bezpečnosti, spolu s důvěrností a dostupností.
ISMS – je systém řízení informační bezpečnosti, který organizace používá k minimalizaci rizik a zajištění souladu s normou ISO 27001. rvx.redakce@gmail.com
Informace – ISO 27001 definuje informaci jako „aktivum, které má hodnotu pro organizaci a které je třeba chránit.“ Informace mohou být ve formě elektronických, papírových nebo jiných médií.
Hodnocení rizik (risk assessment)- je proces, při kterém se určuje pravděpodobnost a dopady rizik a stanoví se opatření pro minimalizaci těchto rizik.
Kontrola (control)- je opatření, které organizace používá k minimalizaci rizik. Kontroly mohou být technické, jako jsou firewally nebo šifrování dat, nebo administrativní, jako jsou politiky a postupy.
Monitorování a revize ( monitoring and revision) – jsou procesy, které organizace používají k pravidelnému sledování systému řízení informační bezpečnosti a zajištění, že je stále účinný. Revize mohou být interní nebo externí a mohou být prováděny za účelem ověření souladu s normou ISO 27001.
Organizace (organisation) – je soubor lidí, prostředků, procesů a systémů, které spolupracují k dosažení určitého cíle. V rámci ISO 27001 se organizace zaměřuje na zabezpečení informací a poskytování důvěryhodného informačního prostředí pro všechny zainteresované strany.
Politika (policy)- jsou dokumenty, které stanovují zásady, postupy a směrnice pro řízení informací v organizaci.
Postupy (procedures) – jsou konkrétní kroky, které organizace používá k implementaci politik a kontrol pro ochranu informací.
Proces (process) – je soubor souvisejících aktivit nebo činností, které jsou navrženy k dosažení určitého cíle. V rámci ISO 27001 jsou procesy důležité pro řízení informační bezpečnosti, včetně identifikace a hodnocení rizik, řízení přístupových práv, zálohování a obnovy dat a správu incidentů.
Riziko (risk) – je pravděpodobnost vzniku nežádoucího události nebo dopadu na organizaci. V rámci ISO 27001 jsou rizika hodnocena a řízena prostřednictvím procesu řízení rizik, který zahrnuje identifikaci rizik, analýzu rizik a stanovení opatření k řízení rizik.
Řízení informační bezpečnosti (information security management)- je proces, který zahrnuje stanovení politik, postupů a kontrol pro ochranu informací před riziky, jako jsou například ztráta, krádež nebo zneužití.
Systém řízení informační bezpečnosti (ISMS) – je soubor procesů, politik, postupů a kontrol, které organizace používá k řízení informační bezpečnosti a minimalizování rizik spojených s informacemi.
Vnější kontext – jsou faktory, které ovlivňují informační bezpečnost organizace, ale jsou mimo její kontrolu. Tyto faktory mohou zahrnovat hrozby, regulační požadavky nebo změny na trhu.
Vnitřní kontext – jsou faktory v rámci organizace, které ovlivňují informační bezpečnost. Tyto faktory mohou zahrnovat organizační strukturu, kulturu a politiky.
Zranitelnost (vulnerability) – je nedostatek zabezpečení nebo ochrany, která může umožnit útočníkovi využít tuto slabost k napadení organizace nebo informačního systému. V rámci ISO 27001 se zranitelnosti identifikují prostřednictvím procesu hodnocení rizik a řeší se pomocí opatření k řízení rizik.
Celkově jsou tyto pojmy klíčové pro zabezpečení informací a ochranu organizací proti kybernetickým hrozbám. Správné řízení procesů a rizik může pomoci organizacím minimalizovat zranitelnosti a ochránit své informace před ztrátou, krádeží nebo poškozením.
Porozumění těmto pojmovým definicím a jejich správnému použití v praxi je klíčové pro úspěšnou implementaci a správu ISMS v souladu s normou ISO 27001.