Řada norem ISO 27000
Normy ISO/IEC 27001 až ISO/IEC 27019 patří do rodiny norem ISO/IEC 27000, která se věnuje řízení informační bezpečnosti. Tyto normy se vzájemně doplňují a nabízejí společný rámec pro řízení a zabezpečení informací v organizaci.
ISO/IEC 27001
ISO/IEC 27001 stanovuje požadavky pro řízení informační bezpečnosti v organizaci. Norma obsahuje soubor procesů a řízení, které pomáhají organizacím chránit své citlivé informace. ISO/IEC 27001 zahrnuje čtyři hlavní kroky: (1) plánování, (2) realizaci, (3) ověření a (4) zlepšování řízení informační bezpečnosti v organizaci.
ISO/IEC 27002:2013 (dříve známá jako ISO/IEC 17799:2005) poskytuje soubor doporučení a pravidel pro řízení bezpečnosti informací. Tato norma poskytuje obecný rámec pro řízení bezpečnosti informací, včetně témat, jako jsou fyzická bezpečnost, řízení přístupu, šifrování, zabezpečení sítě, zabezpečení zařízení a řízení bezpečnosti služeb třetích stran.
ISO/IEC 27003:2017
ISO/IEC 27003:2017 poskytuje obecné pokyny pro zavedení a řízení řízení bezpečnosti informací. Tato norma poskytuje obecný rámec pro zavádění, řízení, hodnocení, udržování a zlepšování řízení bezpečnosti informací v rámci organizace. Pomáhá organizacím dosáhnout konzistence a účinnosti při zavádění a řízení řízení bezpečnosti informací.
ISO/IEC 27004:2016
ISO/IEC 27004:2016 poskytuje soubor doporučení pro měření výkonu řízení bezpečnosti informací a řízení rizik v organizaci. Tato norma poskytuje různé metody a techniky pro měření výkonu řízení bezpečnosti informací, včetně přístupů k měření úrovně zabezpečení informací, účinnosti opatření a dosažení cílů řízení bezpečnosti informací.
ISO/IEC 27005:2018
ISO/IEC 27005:2018 poskytuje obecný rámec pro řízení rizik souvisejících s bezpečností informací. Tato norma popisuje proces řízení rizik, který organizace používají k identifikaci, hodnocení a řízení rizik souvisejících s bezpečností informací. Pomáhá organizacím stanovit prioritní opatření pro zajištění bezpečnosti informací.
ISO/IEC 27006:2015
ISO/IEC 27006:2015 poskytuje požadavky a doporučení pro organizace, které provádějí certifikaci řízení bezpečnosti informací podle ISO/IEC 27001. Tato norma pomáhá poskytovatelům certifikace zajistit, že proces certifikace řízení bezpečnosti informací je proveden správně a účinně.
ISO/IEC 27007:2020
ISO/IEC 27007:2020 norma poskytuje směrnice pro auditování systémů řízení informační bezpečnosti. Obsahuje informace o plánování, provádění a vyhodnocování výsledků auditu, včetně návrhu a implementace korekčních opatření.
ISO/IEC 27010:2015
ISO/IEC 27010:2015 poskytuje směrnice pro řízení informační bezpečnosti při meziodvětvových činnostech. Vysvětluje, jak organizace mohou spolupracovat a sdílet informace bezpečně a efektivně.
ISO/IEC 27011:2016
ISO/IEC 27011:2016 se zaměřuje na řízení informační bezpečnosti v telekomunikačních organizacích. Poskytuje specifické směrnice pro ochranu dat a sítí a pro řízení rizik spojených s těmito oblastmi.
ISO/IEC 27013:2021
ISO/IEC 27013:2021 poskytuje směrnice pro řízení informační bezpečnosti v dodavatelském řetězci. Obsahuje rady, jak zavést a udržovat bezpečnostní politiky a postupy v celém dodavatelském řetězci, aby se minimalizovaly rizika spojená s dodavatelskými vztahy.
ISO/IEC 27014:2020
ISO/IEC 27014:2020 norma poskytuje obecné směrnice pro řízení informační bezpečnosti v organizacích zodpovědných za kritickou infrastrukturu. Tyto organizace jsou často pod velkým tlakem a musí mít zabezpečenou kritickou infrastrukturu, aby mohly plnit své klíčové role a odpovědnosti.
ISO/IEC 27015:2012
ISO/IEC 27015:2012 se zaměřuje na řízení informační bezpečnosti v poskytování služeb. Poskytuje směrnice pro všechny typy služeb, včetně cloudových služeb, a obsahuje pokyny pro zajištění ochrany dat a sítí během celého procesu poskytování služeb.
ISO/IEC 27017:2015
ISO/IEC 27017:2015 poskytuje směrnice pro zabezpečení cloudových služeb. Vysvětluje, jaké specifické výzvy přináší cloudové prostředí a jak organizace mohou zajistit bezpečnost svých dat a aplikací v této prostředí.
ISO/IEC 27018:2019
Norma ISO/IEC 27018 se zaměřuje na ochranu osobních údajů v cloudových službách. Tato norma poskytuje konkrétní pokyny pro poskytovatele cloudových služeb, jak mohou chránit osobní údaje a zároveň splňovat požadavky týkající se zpracování osobních údajů stanovené zákonem. ISO/IEC 27018 poskytuje také návod pro klienty, jaké požadavky by měli mít na své poskytovatele cloudových služeb, aby zabezpečili ochranu svých osobních údajů.
ISO/IEC 27019:2017
Norma ISO/IEC 27019 se týká informační bezpečnosti v sektoru energetiky. Norma poskytuje směrnice a doporučení pro zabezpečení informací v oblasti energetiky. ISO/IEC 27019 se zaměřuje na specifické rizika a hrozby, které jsou v oblasti energetiky unikátní, jako například sabotáže, výpadky elektřiny a podobně. Cílem normy je zajistit bezpečné fungování energetických infrastruktur a ochranu proti hrozbám na zabezpečení informací v tomto odvětví.
| Kód normy | Název normy | Popis normy |
| ISO/IEC 27000 | Informační technologie – Zabezpečení | Hlavní norma v řadě ISO/IEC 27000 popisující obecné pojmy a definice v oblasti zabezpečení informací. |
| ISO/IEC 27001 | Systémy řízení informační bezpečnosti | Popisuje požadavky na systém řízení informační bezpečnosti a poskytuje základ pro certifikaci organizace. |
| ISO/IEC 27002 | Kodeks pro řízení bezpečnosti informací | Popisuje obecné zásady, postupy a opatření pro řízení bezpečnosti informací v organizaci. |
| ISO/IEC 27003 | Implementace systémů řízení informační bezpečnosti | Poskytuje podrobný popis postupů pro implementaci systému řízení informační bezpečnosti v souladu s normou ISO/IEC 27001. |
| ISO/IEC 27004 | Měření bezpečnosti informací | Popisuje způsoby, jakými lze měřit úspěšnost a efektivitu implementace systému řízení informační bezpečnosti. |
| ISO/IEC 27005 | Řízení rizik informační bezpečnosti | Popisuje metodiku pro řízení rizik v oblasti informační bezpečnosti a poskytuje nástroje pro hodnocení a analýzu rizik. |
| ISO/IEC 27006 | Požadavky pro akreditaci certifikačních orgánů | Stanovuje požadavky pro akreditaci certifikačních orgánů provádějících certifikaci systémů řízení informační bezpečnosti podle normy ISO/IEC 27001. |
| ISO/IEC 27007 | Směrnice pro řízení auditů informační bezpečnosti | Popisuje postupy pro plánování, provádění, sledování a hodnocení auditů systémů řízení informační bezpečnosti. |
| ISO/IEC 27010 | Směrnice pro meziodvětvové řízení informační bezpečnosti | Popisuje způsoby, jakými lze v organizaci zajistit řízení informační bezpečnosti v mezioborových vztazích. |
| ISO/IEC 27011 | Zásady řízení informační bezpečnosti v telekomunikacích | Definuje zásady řízení informační bezpečnosti pro telekomunikační organizace a poskytovatele telekomunikačních služeb. |
| ISO/IEC 27013 | Směrnice pro řízení bezpečnosti informací v dodavatelském řetězci | Definuje zásady a postupy pro řízení bezpečnosti informací v dodavatelském řetězci. |
| ISO/IEC 27014 | Směrnice pro řízení informační bezpečnosti v organizaci | Definuje zásady řízení informační bezpečnosti pro organizace. |
| ISO/IEC 27015 | Směrnice pro řízení bezpečnosti informací v oblasti cloudových služeb | Definuje zásady řízení bezpečnosti informací pro organizace působící v oblasti cloudových služeb. |
| ISO/IEC 27017 | Směrnice pro řízení bezpečnosti informací v cloud computingu | Definuje zásady řízení bezpečnosti informací v cloud computingu. |
| ISO/IEC 27018 | Směrnice pro řízení bezpečnosti informací v cloud computingu – Ochrana osobních údajů | Definuje zásady řízení bezpečnosti informací v cloud computingu s důrazem na ochranu osobních údajů. |
| ISO/IEC 27019 | Směrnice pro řízení bezpečnosti informací v sektoru energetiky | Definuje zásady řízení bezpečnosti informací pro organizace působící v sektoru energetiky. |
Ve zkratce můžeme říct.
Norma ISO/IEC 27001 stanovuje obecné požadavky pro řízení informační bezpečnosti, zatímco normy ISO/IEC 27002 a ISO/IEC 27003 poskytují doporučení pro implementaci tohoto řízení a vytvoření bezpečnostního programu. Normy ISO/IEC 27004 a ISO/IEC 27005 definují způsoby hodnocení účinnosti bezpečnostních opatření a rizik.
Normy ISO/IEC 27006 a ISO/IEC 27007 stanoví požadavky na audit a revize řízení informační bezpečnosti. Normy ISO/IEC 27010 a ISO/IEC 27011 poskytují doporučení pro zabezpečení sítí a komunikací. Norma ISO/IEC 27013 se věnuje správě bezpečnosti informací při správě IT služeb. Norma ISO/IEC 27014 definuje způsoby řízení rizik souvisejících s řízením informační bezpečnosti.
Normy ISO/IEC 27015 a ISO/IEC 27018 se věnují bezpečnosti informací v cloudu, zatímco norma ISO/IEC 27017 poskytuje doporučení pro zabezpečení cloudových služeb. Norma ISO/IEC 27019 se věnuje zabezpečení informací v průmyslových odvětvích.
Celkově lze říci, že normy ISO/IEC 27001 až ISO/IEC 27019 poskytují komplexní rámec pro řízení a zabezpečení informační bezpečnosti v organizaci, který pokrývá různé oblasti od obecných požadavků až po konkrétní doporučení pro specifická odvětví a služby.
