SIST ISO/IEC 27000:2011

INTERNATIONAL ISO/IEC
STANDARD 27000
First edition
2009-05-01
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes
de gestion de la sécurité des informations — Vue d'ensemble et
vocabulaire
Reference number
©
ISO/IEC 2009
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2009
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2009 – All rights reserved

Contents Page
Foreword. iv
0 Introduction . v
1 Scope . 1
2 Terms and definitions. 1
3 Information security management systems . 6
3.1 Introduction . 6
3.2 What is an ISMS?. 7
3.3 Process approach. 8
3.4 Why an ISMS is important. 9
3.5 Establishing, monitoring, maintaining and improving an ISMS . 10
3.6 ISMS critical success factors . 11
3.7 Benefits of the ISMS family of standards. 11
4 ISMS family of standards . 12
4.1 General information. 12
4.2 Standards describing an overview and terminology . 13
4.3 Standards specifying requirements. 13
4.4 Standards describing general guidelines . 14
4.5 Standards describing sector-specific guidelines. 15
Annex A (informative) Verbal forms for the expression of provisions . 16
Annex B (informative) Categorized terms. 17
Bibliography . 19

© ISO/IEC 2009 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
iv © ISO/IEC 2009 – All rights reserved

0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and operating a
management system. This model incorporates the features on which experts in the field have reached a
consensus as being the international state of the art. ISO/IEC JTC 1 SC 27 maintains an expert committee
dedicated to the development of international management systems standards for information security,
otherwise known as the Information Security Management System (ISMS) family of standards.
Through the use of the ISMS family of standards, organizations can develop and implement a framework for
managing the security of their information assets and prepare for an independent assessment of their ISMS
applied to the protection of information, such as financial information, intellectual property, and employee
details, or information entrusted to them by customers or third parties.
0.2 ISMS family of standards
1)
The ISMS family of standards is intended to assist organizations of all types and sizes to implement and
operate an ISMS. The ISMS family of standards consists of the following International Standards, under the
general title Information technology — Security techniques:
⎯ ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary
⎯ ISO/IEC 27001:2005, Information security management systems — Requirements
⎯ ISO/IEC 27002:2005, Code of practice for information security management
⎯ ISO/IEC 27003, Information security management system implementation guidance
⎯ ISO/IEC 27004, Information security management — Measurement
⎯ ISO/IEC 27005:2008, Information security risk management
⎯ ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security
management systems
⎯ ISO/IEC 27007, Guidelines for information security management systems auditing
⎯ ISO/IEC 27011, Information security management guidelines for telecommunications organizations based
on ISO/IEC 27002
NOTE The general title “Information technology — Security techniques” indicates that these standards were prepared
by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of standards are
as follows:
⎯ ISO 27799:2008, Health informatics — Information security management in health using ISO/IEC 27002

1) Standards identified throughout this subclause with no release year indicated are still under development.
© ISO/IEC 2009 – All rights reserved v

0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems, which form
the subject of the ISMS family of standards, and defines related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance in the
ISMS family of standards.
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall Plan-Do-Check-Act (PDCA)
processes and requirements;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard:
⎯ cover commonly used terms and definitions in the ISMS family of standards;
⎯ will not cover all terms and definitions applied within the ISMS family of standards; and
⎯ do not limit the ISMS family of standards in defining terms for own use.
Standards addressing only the implementation of controls, as opposed to addressing all controls, from
ISO/IEC 27002 are excluded from the ISMS family of standards.
To reflect the changing status of the ISMS family of standards, this International Standard is expected to be
continually updated on a more frequent basis than would normally be the case for other ISO/IEC standards.

vi © ISO/IEC 2009 – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 27000:2009(E)

Information technology — Security techniques — Information
security management systems — Overview and vocabulary
1 Scope
This International Standard provides:
a) an overview of the ISMS family of standards;
b) an introduction to information security management systems (ISMS);
c) a brief description of the Plan-Do-Check-Act (PDCA) process; and
d) terms and definitions for use in the ISMS family of standards.
This International Standard is applicable to all types of organization (e.g. commercial enterprises, government
agencies, non-profit organizations).
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
NOTE A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed by its
entry number in parentheses. Such a boldface term can be replaced in the definition by its complete definition.
For example:
attack (2.4) is defined as “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of an asset (2.3)”;
asset is defined as “anything that has value to the organization”.
If the term “asset” is replaced by its definition:
attack then becomes “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of anything that has value to the organization”.
2.1
access control
means to ensure that access to assets (2.3) is authorized and restricted based on business and security
requirements
2.2
accountability
responsibility of an entity for its actions and decisions
© ISO/IEC 2009 – All rights reserved 1

2.3
asset
anything that has value to the organization
NOTE There are many types of assets, including:
a) information (2.18);
b) software, such as a computer program;
c) physical, such as computer;
d) services;
e) people, and their qualifications, skills, and experience; and
f) intangibles, such as reputation and image.
2.4
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of
an asset (2.3)
2.5
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.6
authenticity
property that an entity is what it claims to be
2.7
availability
property of being accessible and usable upon demand by an authorized entity
2.8
business continuity
processes (2.31) and/or procedures (2.30) for ensuring continued business operations
2.9
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
(2.31)
2.10
control
means of managing risk (2.34), including policies (2.28), procedures (2.30), guidelines (2.16), practices or
organizational structures, which can be administrative, technical, management, or legal in nature
NOTE Control is also used as a synonym for safeguard or countermeasure.
2.11
control objective
statement describing what is to be achieved as a result of implementing controls (2.10)
2.12
corrective action
action to eliminate the cause of a detected nonconformity or other undesirable situation
[ISO 9000:2005]
2 © ISO/IEC 2009 – All rights reserved

2.13
effectiveness
extent to which planned activities are realized and planned results achieved
[ISO 9000:2005]
2.14
efficiency
relationship between the results achieved and how well the resources have been used
2.15
event
occurrence of a particular set of circumstances
[ISO/IEC Guide 73:2002]
2.16
guideline
recommendation of what is expected to be done to achieve an objective
2.17
...

NORME ISO/CEI
INTERNATIONALE 27000
Première édition
2009-05-01
Technologies de l'information —
Techniques de sécurité — Systèmes de
management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information security
management systems — Overview and vocabulary

Numéro de référence
ISO/CEI 27000:2009(F)
©
ISO/CEI 2009
ISO/CEI 27000:2009(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO/CEI 2009
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2010
Publié en Suisse
ii © ISO/CEI 2009 – Tous droits réservés

ISO/CEI 27000:2009(F)
Sommaire Page
Avant-propos .iv
0      Introduction.v
1 Domaine d'application .1
2 Termes et définitions .1
3 Systèmes de management de la sécurité de l'information .1
3.1 Introduction.6
3.2 Qu'est ce qu'un SMSI ?.6
3.3 Approche processus.8
3.4 Raisons pour lesquelles un SMSI est important.8
3.5 Établissement, surveillance, mise à jour et amélioration d'un SMSI.9
3.6 Facteurs critiques de succès du SMSI.11
3.7 Avantages de la famille des normes SMSI.11
4 La famille des normes SMSI.12
4.1 Informations générales.12
4.2 Normes décrivant une vue d'ensemble et une terminologie .13
4.3 Normes spécifiant des exigences.14
4.4 Normes décrivant des lignes directrices générales .15
4.5 Normes décrivant des lignes directrices propres à un secteur .16
Annexe A (informative) Expressions verbales pour exprimer des dispositions.17
Annexe B (informative) Termes classés par catégories .18
Bibliographie.20

© ISO/CEI 2009 – Tous droits réservés iii

ISO/CEI 27000:2009(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27000 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
iv © ISO/CEI 2009 – Tous droits réservés

ISO/CEI 27000:2009(F)
0 Introduction
0.1 Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques que
les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau international.
Le sous-comité ISO/CEI JTC 1 SC 27 bénéficie de l'expérience d'un comité d'experts qui se consacre à
l'élaboration des Normes internationales sur les systèmes de management pour la sécurité de l'information,
connues également comme famille de normes des Systèmes de Management de la Sécurité de l'Information
(SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organisations peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels et se préparer à une évaluation
indépendante de leurs SMSI en matière de protection de l'information, comme par exemple les informations
financières, la propriété intellectuelle, les informations sur les employés, etc., ou les informations qui leur sont
confiées par des clients ou des tiers.
0.2 La famille de normes du SMSI
1)
La famille de normes du SMSI a pour objet d'aider les organisations de tous types et de toutes tailles à
déployer et exploiter un SMSI. Dans le domaine des «Technologies de l'information — Techniques de
sécurité», le titre général de chacune des normes du SMSI se présente comme suit:
⎯ ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
⎯ ISO/CEI 27001:2005, Systèmes de management de la sécurité de l'information — Exigences
⎯ ISO/CEI 27002:2005, Code de bonne pratique pour le management de la sécurité de l'information
⎯ ISO/CEI 27003, Guide de mise en œuvre du système de management de la sécurité de l'information
⎯ ISO/CEI 27004, Management de la sécurité de l'information — Mesurage
⎯ ISO/CEI 27005:2008, Management du risque de la sécurité de l'information
⎯ ISO/CEI 27006:2007, Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
⎯ ISO/CEI 27007, Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information
⎯ ISO/CEI 27011:2008, Lignes directrices du management de la sécurité de l'information pour les
organismes de télécommunications sur la base de l'ISO/CEI 27002
NOTE Le titre général «Technologies de l'information – Techniques de sécurité» indique que ces normes ont été
élaborées par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de
sécurité.
1) Les normes mentionnées dans cette section qui ne comportent pas d'année de publication sont toujours en cours
d'élaboration.
© ISO/CEI 2009 – Tous droits réservés v

ISO/CEI 27000:2009(F)
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont pas
comprises comme «Technologies de l'information – Techniques de sécurité» sont les suivantes:
⎯ ISO/CEI 27799:2008, Informatique de santé — Management de la sécurité de l'information relative à la
santé en utilisant l'ISO/CEI 27002
0.3 Objet de la présente Norme internationale
L'ISO/CEI 27000 présente une vue d'ensemble des systèmes de management de la sécurité de l'information,
qui constituent l'objet de la famille de normes du SMSI, et définit les termes qui s'y rapportent.
NOTE L'Annexe A fournit des éclaircissements sur la façon dont les normes de la famille SMSI doivent être
interprétées en fonction des expressions verbales utilisées, celles-ci exprimant des exigences et/ou des lignes directrices.
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences pour un SMSI et pour les organisations certifiant de tels systèmes;
b) apportent un soutien direct, des recommandations détaillées et/ou une interprétation des processus et
des exigences générales selon le modèle Planifier-Déployer-Contrôler-Agir (PDCA);
c) traitent des pratiques propres à des secteurs particuliers en matière de SMSI;
d) traitent de l'évaluation de la conformité d'un SMSI.
Les termes et les définitions fournis dans cette Norme internationale:
a) couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI;
b) ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
c) ne limitent pas la famille de normes du SMSI en définissant des termes pour un usage propre.
Les normes ne traitant que de la mise en œuvre des mesures, par opposition au traitement de l'ensemble des
mesures prévu dans l'ISO/CEI 27002, sont exclues de la famille de normes du SMSI.
L'ISO/CEI 27000 est une norme délivrée gratuitement.
Pour tenir compte des fréquentes évolutions de la famille de normes du SMSI, on s'attend à ce que
l'ISO/CEI 27000 soit remise à jour en permanence et sur une base plus fréquente que celle prévue pour les
autres normes ISO/CEI.
vi © ISO/CEI 2009 – Tous droits réservés

NORME INTERNATIONALE ISO/CEI 27000:2009(F)

Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information — Vue
d'ensemble et vocabulaire
1 Domaine d'application
La présente Norme internationale fournit:
a) une vue d'ensemble de la famille de normes du SMSI;
b) une introduction aux systèmes de management de la sécurité de l'information (SMSI);
c) une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA); et
d) les termes et définitions utilisés dans la famille de normes du SMSI.
La présente Norme internationale est applicable à tous les types d'organisations (par exemple: entreprises
commerciales, organisations publiques, organisations à but non lucratif).
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
Si ces termes et ces définitions s'appliquent également à d'autres documents, cela doit être indiqué dans ces
autres documents à l'aide de l'alinéa d'introduction suivant:
Pour les besoins du présent document, les termes et définitions fournis dans l'ISO/CEI 27000 s'appliquent.
Un terme utilisé dans une définition ou une note et défini à un autre endroit du présent article figure en
caractères gras, suivi de la référence de l'entrée entre parenthèses. Ce terme en caractères gras peut être
remplacé dans la définition ou la note par sa propre définition.
Par exemple:
attaque (2.4) est définie comme une «tentative de détruire, de rendre public, de modifier, d'invalider, de voler
ou d'obtenir un accès non autorisé ou d'utiliser sans autorisation un actif (2.3)»;
actif est défini comme «tout élément représentant de la valeur pour l'organisation».
En remplaçant le terme «actif» par sa définition, on obtient:
attaque est alors définie comme une «tentative de détruire, de rendre public, de modifier, d'invalider, de voler,
d'obtenir un accès non autorisé ou d'utiliser sans autorisation tout élément représentant de la valeur pour
l'organisation».
© ISO/CEI 2009 – Tous droits réservés 1

ISO/CEI 27000:2009(F)
2.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs (2.3) est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier
2.2
imputabilité
responsabilité d'une enti
...

SLOVENSKI SIST ISO/IEC 27000
STANDARD marec 2011
Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja

informacijske varnosti – Pregled in izrazoslovje

Information technology – Security techniques – Information security management
systems - Overview and vocabulary

Technologies de l'information – Techniques de sécurité – Systèmes de
management de la sécurité de l'information - Vue d'ensemble et vocabulaire

Referenčna oznaka
ICS 01.140.35, 35.040 SIST ISO/IEC 27000:2011 (sl)

Nadaljevanje na straneh od 2 do 25

© 2013-05 Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

SIST ISO/IEC 27000 : 2011
NACIONALNI UVOD
Standard SIST ISO/IEC 27000 (sl), Informacijska tehnologija – Varnostne tehnike – Sistemi
upravljanja informacijske varnosti – Pregled in izrazoslovje, 2011, ima status slovenskega standarda
in je istoveten mednarodnemu standardu ISO/IEC 27000 (en), Information technology – Security
techniques – Information security management systems – Overview and vocabulary, prva izdaja,
2009-05-01.
NACIONALNI PREDGOVOR
Mednarodni standard ISO/IEC 27000:2009 je pripravil pododbor združenega tehničnega odbora
Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC
1/SC 27 Varnostne tehnike v informacijski tehnologiji.

Slovenski standard SIST ISO/IEC 27000:2011 je prevod mednarodnega standarda ISO/IEC
27000:2009. Slovensko izdajo standarda SIST ISO/IEC 27000:2011 je pripravil tehnični odbor
SIST/TC ITC Informacijska tehnologija. V primeru spora glede besedila slovenskega prevoda je
odločilen izvirni mednarodni standard v angleškem jeziku.

Odločitev za izdajo tega standarda je dne 18. novembra 2010 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
– privzem standarda ISO/IEC 27000:2009

OPOMBE
– Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27000:2011 to pomeni “slovenski standard”.

– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

– Definicije pojmov so povzete po mednarodnih standardih ISO 9000, Sistemi vodenja kakovosti –
Osnove in slovar, in ISO Guide 73, Risk management – Vocabulary.

– V besedilu SIST ISO/IEC 27000 so v točkah 0.2, 4.1, 4.2, 4.3, 4.4, 4.5 in v dodatku navedeni
mednarodni standardi ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC
27004, ISO/IEC 27005, ISO/IEC 27006, ISO/IEC 27007, ISO/IEC 27011 in ISO 27799. Pri tem je
vedno mišljena njihova zadnja izdaja.

SIST ISO/IEC 27000 : 2011
VSEBINA Stran
Predgovor .4
0 Uvod .5
1 Področje uporabe .7
2 Izrazi in definicije .7
3 Sistemi upravljanja informacijske varnosti .12
3.1 Uvod .12
3.2 Kaj je SUIV .12
3.3 Procesni pristop.14
3.4 Zakaj je SUIV pomemben .14
3.5 Vzpostavljanje, spremljanje, vzdrževanje in izboljševanje SUIV .15
3.6 Kritični dejavniki uspeha SUIV .16
3.7 Koristi skupine standardov SUIV.17
4 Skupina standardov SUIV .17
4.1 Splošne informacije .17
4.2 Standardi, ki opisujejo pregled in izrazje.18
4.3 Standardi, ki določajo zahteve .19
4.4 Standardi, ki opisujejo splošne smernice.19
4.5 Standardi, ki opisujejo smernice za posamezne sektorje .20
Dodatek A (informativni): Glagolske oblike za izražanje določil .22
Dodatek B (informativni): Kategorizacija izrazov.23
Literatura .25

SIST ISO/IEC 27000 : 2011
Predgovor
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC vzpostavila
združeni tehnični odbor ISO/IEC JTC 1.

Mednarodni standardi so pripravljeni v skladu s pravili, podanimi v 2. delu Direktiv ISO/IEC.

Glavna naloga tehničnih odborov je priprava mednarodnih standardov. Osnutki mednarodnih
standardov, ki jih sprejmejo tehnični odbori, se pošljejo vsem članom v glasovanje. Za objavo
mednarodnega standarda je treba pridobiti soglasje najmanj 75 odstotkov članov, ki se udeležijo
glasovanja.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega mednarodnega standarda predmet
patentnih pravic. ISO in IEC ne prevzemata odgovornosti za prepoznavanje katerih koli ali vseh takih
patentnih pravic.
ISO/IEC 27000 je pripravil združeni tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor
SC 27 Varnostne tehnike IT.
SIST ISO/IEC 27000 : 2011
0 Uvod
0.1 Pregled
Mednarodni standardi za sisteme upravljanja zagotavljajo model za ravnanje pri vzpostavljanju in
delovanju sistema upravljanja. Ta model vključuje značilnosti, za katere so strokovnjaki s tega
področja dosegli soglasje, da je to mednarodno doseženo stanje tehnike. V okviru ISO/IEC JTC 1 SC
27 deluje strokovna komisija, namenjena razvoju mednarodnih standardov za sisteme upravljanja
informacijske varnosti, sicer poznanih kot skupina standardov Sistem upravljanja informacijske
varnosti – SUIV.
Z uporabo skupine standardov SUIV lahko organizacije razvijejo in ustvarijo okvir za upravljanje
varnosti svojih informacij ter se pripravijo na neodvisno oceno svojega SUIV, ki ga uporabljajo za
zaščito podatkov, kot so na primer finančni podatki, podatki o intelektualni lastnini in podrobnosti o
zaposlenih ali informacije, ki jim jih zaupajo njihove stranke ali tretje osebe.
0.2 Skupina standardov SUIV
Namen skupine standardov SUIV je pomagati organizacijam vseh vrst in velikosti pri izvedbi in
delovanju SUIV. Skupino standardov SUIV sestavljajo naslednji mednarodni standardi pod skupnim
naslovom Informacijska tehnologija – Varnostne tehnike:
− ISO/IEC 27000:2009, Sistemi upravljanja informacijske varnosti – Pregled in izrazoslovje
− ISO/IEC 27001:2005, Sistemi upravljanja informacijske varnosti – Zahteve
− ISO/IEC 27002:2005, Pravila obnašanja pri upravljanju informacijske varnosti
− ISO/IEC 27003, Smernice za izvedbo sistema upravljanja informacijske varnosti
− ISO/IEC 27004, Upravljanje informacijske varnosti – Merjenje
− ISO/IEC 27005:2008, Obvladovanje tveganj informacijske varnosti
− ISO/IEC 27006:2007, Zahteve za organe, ki izvajajo presoje in certificiranje sistemov upravljanja
informacijske varnosti
− ISO/IEC 27007, Smernice za presojo sistemov upravljanja informacijske varnosti
− ISO/IEC 27011, Smernice za upravljanje informacijske varnosti telekomunikacijskih organizacij,
zasnovane na ISO/IEC 27002
OPOMBA: Splošni naslov "Informacijska tehnologija – Varnostne tehnike" kaže, da je te standarde pripravil združeni
tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor SC 27 Varnostne tehnike IT.
Mednarodni standard, ki ni naslovljen z istim splošnim naslovom, a je prav tako del skupine
standardov SUIV, je:
− ISO 27799:2008, Zdravstvena informatika – Upravljanje informacijske varnosti v zdravstvu z
uporabo standarda ISO/IEC 27002
0.3 Namen tega mednarodnega standarda
Ta mednarodni standard daje pregled sistemov upravljanja informacijske varnosti, ki so predmet
skupine standardov SUIV, in določa s tem povezane izraze.
OPOMBA: Dodatek A pojasnjuje uporabo izrazov za izražanje zahtev in/ali navodil v skupini standardov SUIV.
Skupina standardov SUIV vključuje standarde, ki:
a) določajo zahteve za SUIV in za tiste, ki certificirajo takšne sisteme,

Standardi, navedeni v tej podtočki brez letnice objave, so še v razvoju.
SIST ISO/IEC 27000 : 2011
b) zagotavljajo neposredno podporo, podrobna navodila in/ali razlage za celotne procese in zahteve
postopka »načrtuj-izvedi-preveri-ukrepaj« (PDCA),
c) se nanašajo na smernice za SUIV, specifične za posamezne sektorje,
d) se nanašajo na ugotavljanje skladnosti za SUIV.
Izrazi in definicije, navedeni v tem mednarodnem standardu:
− obsegajo izraze in definicije, pogosto uporabljene v skupini standardov SUIV,
− ne bodo zajeli vseh izrazov in definicij, ki se uporabljajo v skupini standardov SUIV, in
− ne omejujejo skupine standardov SUIV pri opredeljevanju pogojev za lastno uporabo.
Standardi, ki obravnavajo le izvedbo kontrol, namesto da bi obravnavali vse kontrole, so izključeni iz
skupine standardov SUIV.
Da bi ta mednarodni standard odražal spreminjajoči se status skupine standardov SUIV, je
pričakovati, da se bo posodabljal nenehno in pogosteje, kot to ponavadi velja za druge standarde
ISO/IEC.
SIST ISO/IEC 27000 : 2011
Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Pregled in izrazoslovje
1 Področje uporabe
Ta mednarodni standard navaja:
a) pregled skupine standardov SUIV,
b) uvod v sisteme upravljanja informacijske varnosti (SUIV),
c) kratek opis procesa načrtuj-izvedi-preveri-ukrepaj (PDCA) ter
d) izraze in definicije za uporabo v skupini standardov SUIV.
Ta mednarodni standard je uporaben za vse vrste organizacij (npr. gospodarske družbe, državne
organe, nepridobitne organizacije).
2 Izrazi in definicije
V tem dokumenta so uporabljeni naslednji izrazi in definicije.

OPOMBA: Izraz v definiciji ali opombi, ki je opredeljen drugje v tej točki, je zapisan s krepko pisavo in mu sledi njegovo
številčenje v oklepaju. Tak krepko označen izraz v definiciji se lahko nadomesti z njegovo celotno definicijo.

Na primer:
napad (2.4) je opredeljen kot "poskus uničiti, izpostaviti, spremeniti, onemogočiti, ukrasti ali pridobiti
nepooblaščen dostop do dobrine ali nepooblaščena uporaba te dobrine (2.3)",

dobrina je opredeljena kot "kar koli, kar ima vrednost za organizacijo".

Če se izraz "dobrina" nadomesti s svojo definicijo:

napad potem postane "poskus uničiti, izpostaviti, spremeniti, onemogočiti, ukrasti ali pridobiti nepooblaščen
dostop do česar koli, kar ima vrednost za organizacijo, ali nepooblaščena uporaba česar koli, kar ima vrednost
za organizacijo ".
2.1
nadzor dostopa
pomeni zagotovitev, da je dostop do dobrin (2.3) pooblaščen in omejen na podlagi poslovnih in
varnostnih zahtev
2.2
odgovornost
odgovornost subjekta za njegova dejanja in odločitve

2.3
dobrina
kar koli, kar ima vrednost za organizacijo

OPOMBA: Obstaja več vrst dobrin, vključno z:
a) informacijo (2.18),
b) programsko opremo, kot je računalniški program,
c) fizičnimi sredstvi, kot je računalnik,
d) storitvami,
e) osebjem in njegovimi kvalifikacijami, veščinami in izkušnjami ter
f) neopredmetenimi dobrinami, kot sta ugled in javna podoba.
SIST ISO/IEC 27000 : 2011
2.4
napad
poskus uničiti, izpostaviti, spremeniti, onemogočiti, ukrasti ali pridobiti nepooblaščen dostop do
dobrine ali nepooblaščena uporaba te dobrine (2.3)

2.5
overjanje
priskrba zagotovila, da je zatrjevana lastnost subjekta prava

2.6
verodostojnost
lastnost, da je subjekt to, kar trdi, da je

2.7
razpoložljivost
lastnost, da je nekaj na zahtevo pooblaščenega subjekta dostopno in uporabno

2.8
neprekinjeno poslovanje
procesi (2.31) in/ali postopki (2.30) za zagotavljanje neprekinjenih poslovnih dejavnosti

2.9
zaupnost
lastnost, da informacija ni na voljo ali razkrita nepooblaščenim posameznikom, subjektom ali
procesom (2.31)
2.10
kontrola
načini obvladovanja tveganja (2.34), vključno s politikami (2.28), postopki (2.30), smernicami
(2.16), praksami ali organizacijskimi strukturami, ki so po naravi lahko upravni, tehnični, upravljalni ali
pravni
OPOMBA: Kontrola se uporablja tudi kot sopomenka za zaščito ali protiukrep.

2.11
cilj kontrole
izjava, ki opisuje, kaj bo doseženo kot rezultat izvajanja kontrol (2.10)

2.12
1)
korektivni ukrep
ukrep za odpravo vzroka ugotovljene neskladnosti ali druge neželene situacije

[ISO 9000:2005]
2.1
...