Norma ISO/IEC 27002 je mezinárodní norma používaná jako referenční dokument pro výběr a implementaci bezpečnostních opatření v informační a kybernetické bezpečnosti.
Kromě detailního popisu bezpečnostních opatření, které jsou uvedeny v příloze A normy ISO/IEC 27001, uvádí i osvědčené postupy pro zabezpečení informací, které mohou sloužit jako vodítko při výběru, implementaci a řízení informační a kybernetické bezpečnosti v organizacích.
Jaké budou změny v nové revizi normy ISO/IEC 27002 ve srovnání s verzí ISO/IEC 27002: 2013?
Především bezpečnostní opatření jsou přeskupeny do 4 kategorií namísto 14 kategorií, které se vyskytují v současné verzi 27002:2013. Následující tabulka ukazuje nové kategorie (domény):
5) Organizační opatření
6) Organizace informační bezpečnosti
7) Fyzická bezpečnost
8) Technologická bezpečnost
Vedle této změny se také snížil počet bezpečnostních opatření na 93 oproti 114 opatřením ve stávající normě. Do nového vydání normy se nedostaly následující opatření:
Čl. |
Název opatření |
5.1.2 |
Přezkoumání politik pro bezpečnost informací |
6.2.1 |
Politika mobilních zařízení |
8.1.2 |
Vlastnictví aktiv |
8.2.3 |
Manipulace s aktivy |
9.4.3 |
Systém správy hesel |
11.1.6 |
Oblasti pro nakládku a vykládku |
11.2.5 |
Přemístění aktiv |
11.2.8 |
Neobsluhovaná uživatelská zařízení |
12.4.2 |
Ochrana logů |
12.6.2 |
Omezení instalace softwaru |
13.2.3 |
Elektronické předávání zpráv |
14.1.2 |
Zabezpečení aplikačních služeb ve veřejných sítích |
14.1.3 |
Ochrana transakcí aplikačních služeb |
14.2.9 |
Testování akceptace systému |
16.1.3 |
Podávání zpráv o slabých místech bezpečnosti informací |
18.2.3 |
Přezkoumání technického souladu |
Na tomto místě je třeba zdůraznit, že opatření uváděna v příloze normy ISO/IEC 27001 a dále popsána v normě ISO/IEC 27002 jsou opatření, která je nutno vzít v úvahu při implementaci a provozu ISMS dle ISO/IEC 27001. Nad rámec těchto „povinných opatření, je možné doplnit další, specifická opatření pro danou organizaci nebo lze také využít dalších opatření uvedených v dalších, odvětvových normách.
Vedle normy ISO/IEC 27002, totiž existují tzv. odvětvové normy, které obsahují další bezpečnostní opatření, jenž lze právě použít pro řízení identifikovaných rizik, specifických pro konkrétní odvětví.
Jedná se např. o normu ISO/IEC 27017 pro cloudové služby, ISO/IEC 27701 pro ochranu soukromí, ISO/IEC 27019 pro energetiku, ISO/IEC 27011 pro telekomunikační organizace a ISO 27799 pro zdravotnické organizace.
Další podstatnou změnou je také rozdělení aktiv na primární aktiva a podpůrná aktiva.
Mezi primární aktiva řadí nová norma podnikové procesy a aktivity a informace, zatímco k podpůrným aktivům, na kterých jsou závislá primární aktiva, patří HW, SW, síťová infrastruktura, personál, organizační struktura, kanceláře a budovy apod.
Nově jsou do nové revize ISO/IEC 27002 zařazeny nové definice a pojmy, jako např.:
Změn bude tedy celá řada a organizace by měly začít plánovat transformaci svých systémů informační bezpečnosti co nejdříve.
sídlo firmy
Kosmova 665/10
702 00 Ostrava Přívoz
Versa Systems s. r. o.
Kosmova 665/10, 702 00 Ostrava Přívoz
Statutární zástupce: Ing. Václav Štverka
společnost je zapsaná v OR u KS v Ostravě oddíl C, vložka 24491.
Datová schránka: 53b98m8
Internetové stránky www.versasys.cz jsou provozovány společností Versa Systems s.r.o., se sídlem Kosmova 665/10, 702 00 Ostrava Přívoz, zapsaná u KS v Ostravě, oddíl C, vložka 24491, IČ: 25891863, DIČ: CZ 25691863 (dále jen Provozovatel). Společnost Versa Systems s.r.o. je majitelem, pořizovatelem a provozovatelem internetových stránek www.versasys.cz (dále jen versasys.cz) a je v souladu s právními předpisy České republiky oprávněna k jejich šíření.
Obsah internetových stránek versasys.cz na adrese www.versasys.cz, adresách s touto doménou souvisejících a na dalších internetových serverech, kam tento obsah dodává Versa Systems s.r.o., je majetkem společnosti Versa Systems s.r.o. či držitele licence na tento obsah a je chráněn autorským právem i jinými příslušnými právními předpisy. Obsahem se rozumí například články, tabulky, grafy, nástroje, kalkulátory a další veřejně přístupné či heslem chráněné nástroje na versasys.cz. Obsah versasys.cz a jednotlivé nástroje, jež tvoří součást versasys.cz, nesmí třetí strana bez předchozí písemné dohody využívat pro svou výdělečnou činnost či je nabízet svým klientům jako své vlastní. Dále je zakázáno zpracovávat, upravovat a zasahovat do obsahu stránek versasys.cz.
Máte oprávnění používat dokumenty z tohoto serveru za předpokladu, že:
Tento obsah může být zobrazován, reformátován a tištěn pouze pro osobní nekomerční potřebu a uživatel souhlasí s tím, že tento obsah nebude dále šířit, reprodukovat, rozesílat, jinak distribuovat, prodávat, publikovat, vysílat či jinak poskytovat dalším osobám bez předchozího písemného (e-mailového) svolení. Podmínkou v tomto případě je, že na šířeném materiálu bude uveden zdroj zprávy, jeho součástí bude formulace Šířeno se svolením majitele serveru versasys.cz, a budou zachována veškerá označení autorských i dalších práv způsobem, jaký je použit na serveru versasys.cz.
Versa Systems s.r.o. si vyhrazují právo využít názory uživatelů, veřejně uvedené u článků, diskuzí a na jiných veřejně přístupných místech versasys.cz.Je zakázáno přenášet nebo zasílat na versasys nebo z tohoto webového serveru jakékoliv nezákonné či jiné materiály, které porušují jakýkoliv zákon.
Server versasys.cz obsahuje fakta, analýzy, názory a doporučení jednotlivců a organizací, které odpovědní pracovníci společnosti Versa Systems s.r.o. považují pro uživatele serveru za zajímavé. Veškeré informace na stránkách Versasys.cz musí proto být vztahovány k okamžiku jejich prvotního zveřejnění. Vzhledem k rizikům, která s sebou elektronická distribuce informací nese, může při přenosu informací dojít ke zpoždění, nepřesnosti či změně obsahu, za kterou Versa Systems s.r.o. nezodpovídá.
Provozovatel vyvíjí maximální úsilí, aby informace na versasys.cz byly aktuální a proto jsou pravidelně upravovány a kontrolovány. I přesto Provozovatel nemůže zaručit nepřetržitou přesnost, správnost a aktuálnost veškerého jejich obsahu. Informace uveřejňované na versasys.cz jsou základní informace o nabídce řešení, produktů, služeb a aktivit Provozovatele, které mají obecný informativní charakter. Pro úplné a nejaktuálnější informace o specifických řešeních, produktech, službách a aktivitách Provozovatele kontaktujte prosím vždy Provozovatele prostřednictvím mailu nebo telefonicky (viz. sekce kontakty).
Můžete vytvářet odkazy na tento web, musíte však dodržovat všechny relevantní zákony a následující pravidla:
Odkazy na webové servery třetích stran jsou na tomto webu uváděny pouze pro vaše pohodlí. Jestliže tyto odkazy využijete, opustíte web versasys.cz. Společnost Versa Systems s.r.o. nepřezkoumávala žádnou z těchto webových stránek třetích stran, není zodpovědná za žádnou z těchto webových stránek ani jejich obsah a nemá na ně vliv. Tyto webové stránky nepodléhají schválení Versa Systems s.r.o.. Jestliže se rozhodnete navštívit kteroukoli z webových stránek třetích stran, na které versasys.cz odkazuje, jednáte tak výhradně na vlastní nebezpečí a zodpovědnost.
Společnost Versa Systems s.r.o. může monitorovat nebo kontrolovat kterékoliv části webového serveru, kam uživatelé přenášejí nebo zasílají své názory nebo kde komunikují výhradně mezi sebou, včetně, ale bez omezení, diskusních skupin či jiných uživatelských fór, a obsah jakéhokoliv z takových sdělení. Společnost Versa Systems s.r.o. nenese žádným způsobem odpovědnost v souvislosti s obsahem jakéhokoliv takového Sdělení, ať už by měla taková odpovědnost vzniknout na základě zákonů týkajících se autorských práv, ochrany před pomluvami, ochrany soukromí, na základě zákonů proti pornografii či jiným způsobem. Společnost Versa Systems s.r.o. si ponechává právo odstranit zprávy, které obsahují jakýkoliv materiál, který by společnost Versa Systems s.r.o. považovala za urážlivý, neslušný, neetický nebo jinak nepřijatelný.
Používání serveru www.versasys.cz nevyžaduje zadání žádných osobních údajů. V případě, že má návštěvník serveru zájem využít také některé speciální služby serveru www.versasys.cz, bude požádán o provedení jednoduché registrace, součástí které je také několik základních osobních informací, jejichž ochranu a možné využití blíže specifikují následující odstavce.
Některé údaje, poskytnuté při využívání serveru www.versasys.cz mají povahu osobních údajů ve smyslu nařízení EU 2016/679 (GDPR) o ochraně osobních údajů, v platném znění (dále jen Zákon). Společnost Versa Systems s.r.o. se tímto zákonem plně řídí a činí vše pro to, aby osobní údaje uživatelů serveru www.versasys.cz ochránila.
Podle Nařízení má každý uživatel, jenž poskytl osobní údaje, právo písemně požádat správce dat (společnost Versa Systems s.r.o.) o poskytnutí informace o tom, jaké osobní údaje o něm správce zpracovává.