STN ISO/IEC 27005
| Označenie: | STN ISO/IEC 27005 |
| Platnosť: | Platná |
| Počet strán: | 116 |
| Jazyk: |
SK/EN
|
| Listinná verzia: | 35,00€ |
| Elektronická verzia: |
a) Bez možnosti tlače, prenosu textu a obrázkov:
31,50€ b) Bez možnosti tlače, s prenosom textu a obrázkov: 35,00€ c) S možnosťou tlače, prenosu textu a obrázkov: 45,50€ |
| Slovenský názov: | Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Usmernenie k riadeniu rizík informačnej bezpečnosti |
| Anglický názov: | Information security, cybersecurity and privacy protection. Guidance on managing information security risks |
| Dátum vydania: | 01. 07. 2023 |
| Dátum zrušenia: | |
| ICS: | 03.100.60, 35.020, 35.040 |
| Triediaci znak: | 97 4175 |
| Úroveň zapracovania: | idt ISO/IEC 27005:2022 |
| Vestník: | 06/23 |
| Zmeny: | |
| Nahradzujúce normy: | |
| Nahradené normy: | STN ISO/IEC 27005:2023-03 (97 4175) |
| Poznámka vo Vestníku: | |
| Predmet normy: | Tento dokument poskytuje usmernenia, ktoré pomôžu organizáciám: splniť požiadavky normy ISO/IEC 27001 týkajúce sa opatrení na riešenie rizík informačnej bezpečnosti; vykonávať činnosti riadenia rizík informačnej bezpečnosti, konkrétne posudzovanie a ošetrovanie rizík informačnej bezpečnosti. Tento dokument sa vzťahuje na všetky organi-zácie bez ohľadu na ich typ, veľkosť alebo odvetvie. |
| Náhľad normy: | Náhľad normy (PDF) |
| Obsah: |
Predhovor 6 Úvod 8 1 Predmet 8 2 Normatívne odkazy 9 3 Termíny a definície 9 3.1 Termíny súvisiace s rizikami informačnej bezpečnosti 9 3.2 Termíny súvisiace s riadením rizík informačnej bezpečnosti 14 4 Štruktúra tohto dokumentu 18 5 Riadenie rizík informačnej bezpečnosti 18 5.1 Proces riadenia rizík informačnej bezpečnosti 18 5.2 Cykly riadenia rizík informačnej bezpečnosti 22 6 Stanovenie súvislostí 23 6.1 Organizačné aspekty 23 6.2 Identifikácia základných požiadaviek zainteresovaných strán 23 6.3 Uplatňovanie posúdenia rizík 24 6.4 Stanovenie a udržiavanie kritérií rizík informačnej bezpečnosti 24 6.4.1 Všeobecne 24 6.4.2 Kritériá akceptácie rizík 25 6.4.3 Kritériá na vykonávanie posúdenia rizík informačnej bezpečnosti 28 6.5 Výber vhodnej metódy 32 7 Proces posúdenia rizík informačnej bezpečnosti 33 7.1 Všeobecne 33 7.2 Identifikácia rizík informačnej bezpečnosti 35 7.2.1 Identifikácia a popis rizík informačnej bezpečnosti 35 7.2.2 Identifikácia vlastníkov rizík 38 7.3 Analýza rizík informačnej bezpečnosti 39 7.3.1 Všeobecne 39 7.3.2 Posúdenie potenciálnych následkov 40 7.3.3 Posúdenie pravdepodobnosti 41 7.3.4 Určenie úrovne rizika 44 7.4 Analýza rizík informačnej bezpečnosti 44 7.4.1 Porovnanie výsledkov analýzy rizík s kritériami rizík 44 7.4.2 Stanovenie priorít analyzovaných rizík pre ošetrenie rizík 45 8 Proces ošetrenia rizík informačnej bezpečnosti 46 8.1 Všeobecne 46 8.2 Výber vhodných možností ošetrenia rizík informačnej bezpečnosti 47 8.3 Určenie všetkých opatrení, ktoré sú potrebné na implementáciu možností ošetrenia rizík informačnej bezpečnosti 48 8.4 Porovnanie určených opatrení s opatreniami uvedenými v norme ISO/IEC 27001: 2022, príloha A 53 8.5 Vypracovanie vyhlásenia o aplikovateľnosti 54 8.6 Plán ošetrenia rizík informačnej bezpečnosti 55 8.6.1 Formulácia plánu ošetrenia rizík 55 8.6.2 Schválenie vlastníkmi rizík 57 8.6.3 Akceptácia zvyškových rizík informačnej bezpečnosti 58 9 Prevádzka 59 9.1 Vykonávanie procesu posúdenia rizík informačnej bezpečnosti 59 9.2 Vykonávanie procesu ošetrenia rizík informačnej bezpečnosti 61 10 Využívanie súvisiacich procesov ISMS 61 10.1 Súvislosti organizácie 61 10.2 Vodcovstvo a záväzok 63 10.3 Komunikácia a konzultácie 63 10.4 Zdokumentované informácie 66 10.4.1 Všeobecne 66 10.4.2 Zdokumentované informácie o procesoch 66 10.4.3 Zdokumentované informácie o výsledkoch 68 10.5 Monitorovanie a preskúmanie 69 10.5.1 Všeobecne 69 10.5.2 Monitorovanie a preskúmanie faktorov ovplyvňujúcich riziká 69 10.6 Preskúmanie manažmentom 71 10.7 Nápravné opatrenia 72 10.8 Trvalé zlepšovanie 73 Príloha A (informatívna) – Príklady techník na podporu procesu posúdenia rizík 75 Literatúra 116 |