2.2.146
Nové normy a standardy v systému managementu kvality – 4. část
Ing. Monika Becková
NahoruDalší nové standardy pro systémy managementu
V dnešních aktualitách přinášíme informace ze dvou oblastí: systémů managementu bezpečnosti informací a systémů managementu kvality.
Systémy managementu bezpečnosti informací jsou v dnešní době stále aktuálnější. Norma ISO/IEC 27001 je již od roku 2013 běžně aplikovaným standardem ISO v organizacích používajících systémový přístup k řízení procesů i rizik, anebo potřebujících prokázat splnění požadavků zákona č. 181/2014 Sb., zákona o kybernetické bezpečnosti, pokud se na ně vztahuje. O managementu bezpečnosti informací slyšíme a v budoucnu uslyšíme stále více, důkazem toho je například automobilový průmysl, který zavedení požadavků na bezpečnost informací, tzv. TISAX, aktuálně požaduje takřka po všech svých dodavatelích. Přinášíme nyní informace o dalších nových standardech v této oblasti:
-
ČSN ISO/IEC 27009:2021 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Použití ISO/IEC 27001 v jednotlivých odvětvích – Požadavky
-
ČSN EN ISO/IEC 27006:2021 Informační technologie - Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
-
ISO 23195:2021 Security objectives of information systems of third-party payment services (Bezpečnostní cíle informačních systémů platebních služeb třetích stran)
Co je obsahem těchto novinek?
ČSN ISO/IEC 27009:2021 Bezpečnost informací, kybernetická bezpečnost a ochrana
Druhé vydání standardu bylo publikováno v dubnu letošního roku. Jeho předmětem je specifikace požadavků na vytváření norem, které jsou určeny pro specifická odvětví nebo obory a navazují na požadavky ISO/IEC 27001 (požadavky na systémy managementu bezpečnosti informací) a ISO/IEC 27002 (postupy pro jednotlivá opatření k cílům bezpečnosti informací). Již dnes existuje řada norem a standardů, které upřesňují požadavky na bezpečnost informací pro určité obory, viz následující příklady:
-
ISO/IEC 27010 (obsahuje řízení bezpečnosti informací pro meziodvětvovou a mezioborovou komunikaci); není dosud v české soustavě norem
-
ISO/IEC 27011 (obsahuje soubor postupů pro opatření bezpečnosti informací pro telekomunikační organizace založený na ISO/IEC 27002); vyšla v české soustavě norem v 11/2020 převzetím v anglickém originále
-
ISO/IEC 27017 (obsahuje soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002); vyšla v české soustavě norem v 6/2017
-
ISO/IEC 27018 (obsahuje soubor postupů na ochranu osobně identifikovatelných informací ve veřejných cloudech vystupujících jako zpracovatelé); vyšla v české soustavě norem v 11/2019
-
ISO/IEC 27019 (obsahuje opatření bezpečnosti informací pro energetický průmysl); vyšla v české soustavě norem v 8/2020 převzetím v anglickém originále
-
TISAX (z angl. Trusted Information Security Assessment Exchange) je schéma určené dodavatelům a výrobcům v automobilovém průmyslu pro prokázání dostatečné úrovně informační bezpečnosti; TISAX vytvořila asociace ENX (European Network Exchange Association - viz www.enx.com ) jako sdružení evropských výrobců vozidel. Sdružení ENX působí zároveň jako řídicí organizace pro TISAX. Poskytuje akreditaci certifikačním orgánům a sleduje kvalitu provádění auditů i výsledků hodnocení. Úroveň vyspělosti systému managementu bezpečnosti informací se hodnotí dle katalogu otázek o informační bezpečnosti (Information Security Assessment, neboli VDA ISA, aktuálně ve verzi 5.0.4), které jsou zároveň požadavky. TISAX nemá status mezinárodní normy, ale je vyloženě oborovým standardem.
Budete-li chtít vytvářet normy bezpečnosti informací, které jsou určeny pro specifická odvětví nebo obory, měli byste dodržet ustanovení uvedeného standardu pro strukturu a obsah normy. A naopak, uživatelům specifických norem bezpečnosti informací pomůže nová norma porozumět obsahu a dodatečným specifikacím, které navazují na ISO/IEC 27001 a ISO/IEC 27002 a je proto nutno je chápat jako doplněk k tomuto základu.
ČSN EN ISO/IEC 27006:2021 Informační technologie - Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
Nové vydání standardu bylo publikováno v květnu letošního roku a nahrazuje předchozí ČSN z 10/2016. Jak je zřejmé z názvu, jeho předmětem je specifikace požadavků na certifikační orgány pro systémy managementu bezpečnosti informací. Jeho obsahem je například stanovení požadavků na kompetence auditora, resp. auditního týmu bezpečnosti informací, co musí obsahovat auditní zpráva, jak se počítá doba auditu u klienta, a je zde také návod v podobě checklistu k přezkoumání opatření implementovaných posuzovanou organizací dle přílohy A normy ISO/IEC 27001 v podobě checklistu.
A na co se audit bezpečnosti informací zaměřuje?
Aby mohla být potvrzena shoda s požadavky, musí se audit dle této normy zaměřit na následující faktory:
- -
Postavení vrcholového vedení a jeho závazek dodržovat politiky, cíle a postupy
- -
Požadavky na dokumentaci (dokumentované informace) ve smyslu ISO/IEC 27001
- -
Posouzení rizik bezpečnosti informací a jejich ošetření
- -
Stanovení cílů a opatření pro minimalizaci a řízení rizik
- -
Role, odpovědnosti a pravomoci
- -
Soulad mezi vybranými opatřeními, prohlášením o aplikovatelnosti, výsledky procesů analýzy a posouzení rizik, politikou a cíli bezpečnosti informací
- -
Opatření zaměřená na podporu systému managementu bezpečnosti informací
- -
Opatření zaměřená na plánování a řízení provozu
- -
Přezkoumání a měření efektivnosti
- -
Interní audity a přezkoumání systému managementu bezpečnosti informací vedením
- -
soulad s právními předpisy (compliance)
Auditní tým se v rámci posuzování zaměřuje na předkládání důkazů o fungování systému managementu bezpečnosti informací posuzovanou organizací, zejména pokud jde o cíle opatření a jednotlivá bezpečnostní opatření vyplývající z přílohy A normy ISO/IEC 27001. Požaduje předložení konkrétních důkazů (např. klasifikaci informací, plán bezpečnostních zón, topologii sítě, analýzu aktiv a hodnocení rizik, důkazy o řízení provozu, provádění kontrol, provozních činností, školení, aktualizace prohlášení o aplikovatelnosti, plánu zvládání rizik, plánu kontinuity, identity managementu, access managementu, log managementu apod.).
ISO 23195:2021 Security objectives of information systems of third-party payment services
Třetí a poslední naší novinkou v oblasti bezpečnosti informací je úplně první vydání standardu ISO 23195 z června letošního roku. Jeho předmětem je specifikace terminologie používané v souvislosti s platbami prostřednictvím třetí strany (TPP – third-party payment). Dále zavádí dva logické strukturální modely, ve kterých jsou objasněna aktiva, která mají být chráněna, a…