SIST ISO/IEC 27001:2010

2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.Information technology – Security techniques – Information security management systems – RequirementsInformation technology – Security techniques – Information security management systems – RequirementsTa slovenski standard je istoveten z:oSIST ISO/IEC 27001:2006en35.040Nabori znakov in kodiranje informacijCharacter sets and information codingICS:SLOVENSKI
STANDARDoSIST ISO/IEC 27001:200601-maj-2006

Reference numberISO/IEC 27001:2005(E)© ISO/IEC 2005
INTERNATIONAL STANDARD ISO/IEC27001First edition2005-10-15Information technology — Security techniques — Information security management systems — Requirements Technologies de l'information — Techniques de sécurité — Systèmes de gestion de sécurité de l'information — Exigences

©
ISO/IEC 2005 All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO's member body in the country of the requester. ISO copyright office Case postale 56 • CH-1211 Geneva 20 Tel.
+ 41 22 749 01 11 Fax
+ 41 22 749 09 47 E-mail
copyright@iso.org Web
www.iso.org Published in Switzerland
ii © ISO/IEC 2005 – All rights reserved

Control objectives and controls.13 Annex B (informative)
OECD principles and this International Standard.30 Annex C (informative)
Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard.31 Bibliography.34

Foreword ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1. International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote. Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.

1) OECD Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org

EXAMPLE 1 A requirement might be that breaches of information security will not cause serious financial damage to an organization and/or cause embarrassment to the organization.
EXAMPLE 2 An expectation might be that if a serious incident occurs — perhaps hacking of an organization’s eBusiness web site — there should be people with sufficient training in appropriate procedures to minimize the impact.
InterestedParties Managed information securityInformation security requirements and expectationsInterestedParties PlanDoCheckActMonitor andreview the ISMSMonitor andreview the ISMSImplement andoperate the ISMSImplement andoperate the ISMSMaintain andimprove the ISMSMaintain andimprove the ISMSEstablishISMSEstablishISMSInterestedParties Managed information securityInformation security requirements and expectationsInterestedParties PlanDoCheckActMonitor andreview the ISMSMonitor andreview the ISMSImplement andoperate the ISMSImplement andoperate the ISMSMaintain andimprove the ISMSMaintain andimprove the ISMSEstablishISMSEstablishISMS Figure 1 — PDCA model applied to ISMS processes
Plan (establish the ISMS) Establish ISMS policy, objectives, processes and procedures relevant to managing risk and improving information security to deliver results in accordance with an organization’s overall policies and objectives. Do (implement and operate the ISMS) Implement and operate the ISMS policy, controls, processes and procedures. Check (monitor and review the ISMS) Assess and, where applicable, measure process performance against ISMS policy, objectives and practical experience and report the results to management for review. Act (maintain and improve the ISMS) Take corrective and preventive actions, based on the results of the internal ISMS audit and management review or other relevant information, to achieve continual improvement of the ISMS.
0.3 Compatibility with o
...

SLOVENSKI STANDARD
01-oktober-2010
Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske
varnosti - Zahteve
Information technology - Security techniques - Information security management systems
- Requirements
Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la
sécurité de l'information - Exigences
Ta slovenski standard je istoveten z: ISO/IEC 27001:2005
ICS:
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO/IEC
STANDARD 27001
First edition
2005-10-15
Information technology — Security
techniques — Information security
management systems — Requirements
Technologies de l'information — Techniques de sécurité — Systèmes
de gestion de sécurité de l'information — Exigences

Reference number
©
ISO/IEC 2005
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2005 – All rights reserved

Contents Page
Foreword. iv
0 Introduction. v
0.1 General. v
0.2 Process approach. v
0.3 Compatibility with other management systems. vi
1 Scope .1
1.1 General.1
1.2 Application .1
2 Normative references .1
3 Terms and definitions .2
4 Information security management system .3
4.1 General requirements.3
4.2 Establishing and managing the ISMS.4
4.2.1 Establish the ISMS.4
4.2.2 Implement and operate the ISMS .6
4.2.3 Monitor and review the ISMS.6
4.2.4 Maintain and improve the ISMS.7
4.3 Documentation requirements.7
4.3.1 General.7
4.3.2 Control of documents .8
4.3.3 Control of records.8
5 Management responsibility .9
5.1 Management commitment .9
5.2 Resource management .9
5.2.1 Provision of resources.9
5.2.2 Training, awareness and competence.9
6 Internal ISMS audits.10
7 Management review of the ISMS.10
7.1 General.10
7.2 Review input.10
7.3 Review output .11
8 ISMS improvement.11
8.1 Continual improvement.11
8.2 Corrective action.11
8.3 Preventive action .12
Annex A (normative) Control objectives and controls.13
Annex B (informative) OECD principles and this International Standard .30
Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and this
International Standard.31
Bibliography .34

© ISO/IEC 2005 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.

iv © ISO/IEC 2005 – All rights reserved

0 Introduction
0.1 General
This International Standard has been prepared to provide a model for establishing, implementing, operating,
monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The
adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an
organization’s ISMS is influenced by their needs and objectives, security requirements, the processes
employed and the size and structure of the organization. These and their supporting systems are expected to
change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of
the organization, e.g. a simple situation requires a simple ISMS solution.
This International Standard can be used in order to assess conformance by interested internal and external
parties.
0.2 Process approach
This International Standard adopts a process approach for establishing, implementing, operating, monitoring,
reviewing, maintaining and improving an organization's ISMS.
An organization needs to identify and manage many activities in order to function effectively. Any activity using
resources and managed in order to enable the transformation of inputs into outputs can be considered to be a
process. Often the output from one process directly forms the input to the next process.
The application of a system of processes within an organization, together with the identification and
interactions of these processes, and their management, can be referred to as a “process approach”.
The process approach for information security management presented in this International Standard
encourages its users to emphasize the importance of:
a) understanding an organization’s information security requirements and the need to establish policy and
objectives for information security;
b) implementing and operating controls to manage an organization's information security risks in the context
of the organization’s overall business risks;
c) monitoring and reviewing the performance and effectiveness of the ISMS; and
d) continual improvement based on objective measurement.
This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all
ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and
expectations of the interested parties and through the necessary actions and processes produces information
security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the
processes presented in Clauses 4, 5, 6, 7 and 8.
1)
The adoption of the PDCA model will also reflect the principles as set out in the OECD Guidelines (2002)
governing the security of information systems and networks. This International Standard provides a robust
model for implementing the principles in those guidelines governing risk assessment, security design and
implementation, security management and reassessment.

1) OECD Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris:
OECD, July 2002. www.oecd.org
© ISO/IEC 2005 – All rights reserved v

EXAMPLE 1
A requirement might be that breaches of information security will not cause serious financial damage to an
organization and/or cause embarrassment to the organization.
EXAMPLE 2
An expectation might be that if a serious incident occurs — perhaps hacking of an organization’s eBusiness
web site — there should be people with sufficient training in appropriate procedures to minimize the impact.

PlPlaann
InIntteereresstteedd InIntteererestestedd
PaParrttiieess PaParrttiieess
EEssttablishablish
EsEstatabblliisshh
ISISMSMS
ISISMSMS
IImmpleplemmentent and and MaMaiinntatainin a anndd
IImmpleplemmentent and and MMaaintintaain andin and
DoDo AcActt
opeoperatratee t thhe e IISSMMSS iimmprove tprove thhee IISSMMSS
operatoperate te the he IISSMMSS iimmprovprove te the he IISSMMSS
MMoonniittoor andr and
MMonitonitoor anr andd
revreviiew tew the he IISSMMSS
IInnffoormrmatatioion n
rerevivieeww t thhee ISISMSMS
MManagedanaged
secur
...

NORME ISO/CEI
INTERNATIONALE 27001
Première édition
2005-10-15
Technologies de l'information —
Techniques de sécurité — Systèmes de
gestion de la sécurité de l'information —
Exigences
Information technology — Security techniques — Information security
management systems — Requirements

Numéro de référence
ISO/CEI 27001:2005(F)
©
ISO/CEI 2005
ISO/CEI 27001:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO/CEI 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2007
Publié en Suisse
ii © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 27001:2005(F)
Sommaire Page
Avant-propos. iv
0 Introduction . v
1 Domaine d'application. 1
1.1 Généralités . 1
1.2 Application . 1
2 Références normatives . 2
3 Termes et définitions. 2
4 SMSI . 4
4.1 Exigences générales . 4
4.2 Établissement et management du SMSI.4
4.2.1 Établissement du SMSI . 4
4.2.2 Mise en œuvre et fonctionnement du SMSI . 6
4.2.3 Surveillance et réexamen du SMSI . 7
4.2.4 Mise à jour et amélioration du SMSI . 8
4.3 Exigences relatives à la documentation. 8
4.3.1 Généralités . 8
4.3.2 Maîtrise des documents. 9
4.3.3 Maîtrise des enregistrements . 9
5 Responsabilité de la direction. 9
5.1 Implication de la direction . 9
5.2 Management des ressources . 10
5.2.1 Mise à disposition des ressources . 10
5.2.2 Formation, sensibilisation et compétence. 10
6 Audits internes du SMSI . 11
7 Revue de direction du SMSI . 11
7.1 Généralités . 11
7.2 Éléments d'entrée du réexamen. 11
7.3 Éléments de sortie du réexamen. 12
8 Amélioration du SMSI. 12
8.1 Amélioration continue. 12
8.2 Action corrective. 12
8.3 Action préventive. 13
Annexe A (normative) Objectifs de sécurité et mesures de sécurité . 14
Annexe B (informative) Les principes de l'OCDE et la présente Norme internationale. 31
Annexe C (informative) Correspondance entre l'ISO 9001:2000, l'ISO 14001:2004 et la présente
Norme internationale. 32
Bibliographie . 34

© ISO/CEI 2005 – Tous droits réservés iii

ISO/CEI 27001:2005(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27001 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
iv © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 27001:2005(F)
0 Introduction
0.1 Généralités
La présente norme internationale a été élaborée pour fournir un modèle d'établissement, de mise en œuvre,
de fonctionnement, de surveillance, de réexamen, de mise à jour et d'amélioration d'un SMSI (Système de
Management de la Sécurité de l’Information). Il convient que l'adoption d'un SMSI relève d'une décision
stratégique de l'organisme. La conception et la mise en œuvre du SMSI d'un organisme tiennent compte des
besoins et des objectifs, des exigences de sécurité, des processus mis en œuvre, ainsi que la taille et de la
structure de l'organisme. Ces éléments, ainsi que leurs systèmes connexes doivent évoluer avec le temps. Il
convient d'adapter la mise en œuvre du SMSI conformément aux besoins de l'organisme, par exemple une
situation simple requiert une solution SMSI tout aussi simple.
La présente norme internationale peut être utilisée pour des audits d’évaluation de la conformité, réalisés par
des intervenants internes ou externes.
0.2 Approche processus
La présente norme internationale encourage l'adoption d'une approche processus pour l'établissement, la
mise en œuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l'amélioration du SMSI
d'un organisme.
Tout organisme doit identifier et gérer de nombreuses activités de manière à fonctionner de manière efficace.
Toute activité utilisant des ressources et gérée de manière à permettre la transformation d'éléments d'entrée
en éléments de sortie, peut être considérée comme un processus. L'élément de sortie d'un processus
constitue souvent l'élément d'entrée du processus suivant.
"L'approche processus" désigne l'application d'un système de processus au sein d'un organisme, ainsi que
l'identification, les interactions et le management de ces processus.
L'approche processus pour le management de la sécurité de l'information présentée dans cette norme
internationale incite ses utilisateurs à souligner l'importance de:
a) la compréhension des exigences relatives à la sécurité de l'information d'un organisme, et la nécessité de
mettre en place une politique et des objectifs en matière de sécurité de l'information;
b) la mise en œuvre et l'exploitation des mesures de gestion des risques liés à la sécurité de l'information
d'un organisme dans le contexte des risques globaux liés à l'activité de l'organisme;
c) la surveillance et le réexamen des performances et de l'efficacité du SMSI;
d) l'amélioration continue du système sur la base de mesures objectives.
La présente norme internationale adopte le modèle de processus "Planifier-Déployer-Contrôler-Agir" (PDCA)
ou roue de Deming qui est appliqué à la structure de tous les processus d’un SMSI. La Figure 1 illustre
comment un SMSI utilise comme élément d'entrée les exigences relatives à la sécurité de l'information et les
attentes des parties intéressées, et comment il produit, par les actions et processus nécessaires, les résultats
de sécurité de l'information qui satisfont ces exigences et ces attentes. La Figure 1 illustre également les liens
entre les processus présentés dans les chapitres 4, 5, 6, 7 et 8.
© ISO/CEI 2005 – Tous droits réservés v

ISO/CEI 27001:2005(F)
L'adoption du modèle PDCA reflète également les principes fixés dans les lignes directrices de l'OCDE
1)
(2002) qui régissent la sécurité des systèmes et des réseaux d'information. La présente norme internationale
fournit un modèle solide de mise en œuvre de ces principes dans les lignes directrices régissant l'appréciation
des risques, la conception et la mise en œuvre de la sécurité, ainsi que la gestion et la réévaluation de cette
même sécurité.
EXEMPLE 1
Une exigence pourrait être que toute violation de la sécurité de l'information n'entraînera aucun préjudice financier grave
et/ou ne portera aucunement atteinte à l'organisme.
EXEMPLE 2
On pourrait s’attendre à ce que si un incident grave survient, par exemple le piratage informatique du site Web de
commerce en ligne de l'organisme, celui-ci dispose de personnes suffisamment formées aux procédures convenables
pour réduire l’impact de cet incident.

Figure 1 — Modèle PDCA appliqué aux processus SMSI
Planifier (établissement du
Etablir la politique, les objectifs, les processus et les procédures du SMSI relatives à la
SMSI) gestion du risque et à l'amélioration de la sécurité de l'information de manière à fournir
des résultats conformément aux politiques et aux objectifs globaux de l'organisme.
Déployer (mise en oeuvre et Mettre en œuvre et exploiter la politique, les mesures, les processus et les procédures
fonctionnement du SMSI) du SMSI.
Contrôler (surveillance et Evaluer et, le cas échéant, mesurer les performances des processus par rapport à la
réexamen du SMSI) politique, aux objectifs et à l'expérience pratique et rendre compte des résultats à la
direction pour réexamen.
Agir (mise à jour et Entreprendre les actions correctives et préventives, sur la base des résultats de l'audit
amélioration du SMSI)
interne du SMSI et de la revue de direction, ou d'autres informations pertinentes, pour
une amélioration con
...

SLOVENSKI SIST ISO/IEC 27001
STANDARD
oktober 2010
Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Zahteve

Information technology – Security techniques – Information security management
systems – Requirements
Technologies de l'information – Techniques de sécurité – Systèmes de gestion
de la sécurité de l'information – Exigences

Referenčna oznaka
ICS 35.040 SIST ISO/IEC 27001:2010 (sl)

Nadaljevanje na straneh 2 do 35

© 2013-05: Slovenski inštitut za standardizacijo. Razmnoževanje ali kopiranje celote ali delov tega standarda ni dovoljeno.

SIST ISO/IEC 27001 : 2010
NACIONALNI UVOD
Standard SIST ISO/IEC 27001 (sl), Informacijska tehnologija – Varnostne tehnike – Sistemi
upravljanja informacijske varnosti – Zahteve, 2010, ima status slovenskega standarda in je istoveten
mednarodnemu standardu ISO/IEC 27001 (en), Information technology – Security techniques –
Information security management systems – Requirements, prva izdaja, 2005-10-15.
NACIONALNI PREDGOVOR
Mednarodni standard ISO/IEC 27001:2005 je pripravil pododbor združenega tehničnega odbora
Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC
1/SC 27 Varnostne tehnike v informacijski tehnologiji.
Slovenski standard SIST ISO/IEC 27001:2010 je prevod mednarodnega standarda ISO/IEC
27001:2005. Slovenski standard SIST ISO/IEC 27001:2010 je pripravil tehnični odbor SIST/TC ITC
Informacijska tehnologija. V primeru spora glede besedila slovenskega prevoda je odločilen izvirni
mednarodni standard v angleškem jeziku.
Odločitev za izdajo tega standarda je dne 23. aprila 2010 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
– privzem standarda ISO/IEC 27001:2005
OPOMBE
– Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27001:2010 to pomeni “slovenski standard”.
– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.
– Definicije pojmov so povzete po naslednjih mednarodnih standardih:
ISO/IEC 13335-1, Information technology – Security techniques – Management of information
and communications technology security – Part 1: Concepts and models for information and
communications technology security management
ISO/IEC 17799, Informacijska tehnologija – Kodeks upravljanja varovanja informacij
ISO/IEC TR 18044, Information technology – Security techniques – Information security incident
management
ISO/IEC Guide 73, Risk management – Vocabulary
– V besedilu SIST ISO/IEC 27001 so v točkah 0.3, 1.1, 1.2, 2, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.8, 3.9,
3.10, 3.11, 3.12, 3.13, 3.14, 3.15, 6 in v dodatku navedeni mednarodni standardi ISO 9001,
ISO/IEC 13335-1, ISO/IEC 13335-3, ISO/IEC 13335-4, ISO/IEC 17799, ISO/IEC TR 18044, ISO
19011, ISO 14001, ISO/IEC Guide 62 in ISO/IEC Guide 73. Pri tem je vedno mišljena njihova
zadnja izdaja.
– Standard ISO/IEC 17799 je bil leta 2007 preštevilčen v ISO/IEC 27002.
SIST ISO/IEC 27001 : 2010
VSEBINA Stran
Predgovor .4
0 Uvod .5
0.1 Splošno.5
0.2 Procesni pristop.5
0.3 Združljivost z drugimi sistemi upravljanja.6
1 Področje uporabe .7
1.1 Splošno.7
1.2 Uporaba.7
2 Zveza s standardi .7
3 Izrazi in definicije .8
4 Sistem upravljanja informacijske varnosti . 10
4.1 Splošne zahteve. 10
4.2 Vzpostavljanje in upravljanje SUIV. 10
4.2.1 Vzpostavi SUIV. 10
4.2.2 Izvedi in vodi delovanje SUIV. 11
4.2.3 Spremljaj in pregleduj SUIV . 12
4.2.4 Vzdržuj in izboljšuj SUIV. 12
4.3 Zahteve glede dokumentacije . 13
4.3.1 Splošno. 13
4.3.2 Obvladovanje dokumentov. 13
4.3.3 Obvladovanje zapisov . 14
5 Odgovornost vodstva. 14
5.1 Zavezanost vodstva. 14
5.2 Upravljanje virov. 14
5.2.1 Priskrba virov. 14
5.2.2 Usposabljanje, zavedanje in usposobljenost . 15
6 Notranje presoje SUIV. 15
7 Vodstveni pregled SUIV . 15
7.1 Splošno. 15
7.2 Vhodi pregleda . 15
7.3 Izhodi pregleda. 16
8 Izboljševanje SUIV . 16
8.1 Nenehno izboljševanje . 16
8.2 Popravni ukrepi. 16
8.3 Preprečevalni ukrepi. 17
Dodatek A (normativni): Cilji kontrol in kontrole . 18
Dodatek B (informativni): Smernice OECD in ta mednarodni standard . 32
Dodatek C (informativni): Primerjava med ISO 9001:2000, ISO 14001:2004
in tem mednarodnim standardom . 33
Literatura. 35
SIST ISO/IEC 27001 : 2010
Predgovor
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC vzpostavila
združeni tehnični odbor ISO/IEC JTC 1.
Mednarodni standardi so pripravljeni v skladu s pravili, podanimi v 2. delu Direktiv ISO/IEC.
Glavna naloga tehničnih odborov je priprava mednarodnih standardov. Osnutki mednarodnih
standardov, ki jih sprejmejo tehnični odbori, se pošljejo vsem članom v glasovanje. Za objavo
mednarodnega standarda je treba pridobiti soglasje najmanj 75 odstotkov članov, ki se udeležijo
glasovanja.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega mednarodnega standarda predmet
patentnih pravic. ISO in IEC ne prevzemata odgovornosti za prepoznavanje katerih koli ali vseh takih
patentnih pravic.
ISO/IEC 27001 je pripravil združeni tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor
SC 27 Varnostne tehnike IT.
SIST ISO/IEC 27001 : 2010
0 Uvod
0.1 Splošno
Ta mednarodni standard je bil pripravljen, da zagotovi model za vzpostavitev, izvajanje, delovanje,
spremljanje, pregledovanje, vzdrževanje in izboljševanje sistema upravljanja informacijske varnosti
(SUIV). Odločitev za SUIV naj bi bila strateška odločitev za organizacijo. Na snovanje in izvedbo SUIV
organizacije vplivajo njene potrebe in cilji, varnostne zahteve, vpeljani procesi ter velikost in struktura
organizacije. Ti dejavniki in njihovi podporni sistemi se bodo po pričakovanjih s časom spreminjali.
Pričakuje se, da se bo izvedba SUIV prilagajala potrebam organizacije, na primer enostavno stanje
zahteva enostavno rešitev SUIV.
Ta mednarodni standard lahko notranje in zunanje stranke uporabijo za oceno skladnosti.
0.2 Procesni pristop
Ta mednarodni standard privzema procesni pristop k vzpostavitvi, izvajanju, delovanju, spremljanju,
pregledovanju, vzdrževanju in izboljševanju SUIV organizacije.
Organizacija mora prepoznati in upravljati številne aktivnosti, da bi delovala uspešno. Vsaka aktivnost,
ki uporablja vire in se upravlja, da bi omogočila preoblikovanje vhodov v izhode, se lahko šteje, da je
proces. Pogosto izhod iz enega procesa predstavlja neposredni vhod v drug proces.
Uporaba sistema procesov v organizaciji skupaj s prepoznavanjem in medsebojnim delovanjem teh
procesov ter njihovim upravljanjem se lahko imenuje "procesni pristop".
Procesni pristop pri upravljanju informacijske varnosti, ki je predstavljen v tem mednarodnem
standardu, spodbuja svoje uporabnike, da se poudari pomen:
a) razumevanja zahtev informacijske varnosti organizacije ter potreb po vzpostavitvi politike in ciljev
informacijske varnosti,
b) izvajanja in delovanja kontrol za obvladovanje informacijskih varnostnih tveganj organizacije
znotraj celotnih poslovnih tveganj organizacije,
c) spremljanja in pregledovanja delovanja in uspešnosti SUIV ter
d) nenehnega izboljševanja na podlagi objektivnih meritev.
Ta mednarodni standard privzema model "načrtuj-izvedi-preveri-ukrepaj" (PDCA), ki se uporablja za
strukturiranje vseh procesov SUIV. Slika 1 prikazuje, kako SUIV na vhodu sprejema zahteve
informacijske varnosti in pričakovanja zainteresiranih strank ter s pomočjo potrebnih ukrepov in
procesov proizvede izhode informacijske varnosti, ki izpolnjujejo te zahteve in pričakovanja. Slika 1
ponazarja tudi povezave v procesih, ki so predstavljeni v točkah 4, 5, 6, 7 in 8.
Privzem modela PDCA bo prav tako odražal načela, določena v Smernicah OECD (2001) , ki urejajo
varnost informacijskih sistemov in omrežij. Ta mednarodni standard zagotavlja trden model za
izvajanje načel iz teh smernic, ki urejajo ocenjevanje tveganja, zasnovo in izvedbo varnosti ter
upravljanje in ponovno ocenjevanje varnosti.
PRIMER 1:
Zahteva je lahko, da kršitve informacijske varnosti ne bodo povzročile resne finančne škode
organizaciji in/ali jo osramotile.
PRIMER 2:
Pričakuje se lahko, da če se zgodi resen incident – morda vdor na spletno stran organizacije,
namenjeno e-poslovanju, naj bi bili na voljo ljudje, ki so zadostno usposobljeni v postopkih za čim
uspešnejše zmanjšanje tega vpliva.

OECD Guidelines for the Security of Information Systems and Networks – Towards a Culture of Security. Paris: OECD,
julij 2002. www.oecd.org.
SIST ISO/IEC 27001 : 2010
Načrtuj
Zainteresirane
Zainteresirane
stranke
stranke
Vzpostavi SUIV
Izvedi in vodi
Vzdržuj in izboljšuj
Izvedi Ukrepaj
delovanje SUIV
SUIV
Spremljaj in
pregleduj SUIV
Zahteve in
pričakovanja
glede Preverja Upravljana
Preveri
informacijske j informacijska
varnost
varnosti
Slika 1: Model PDCA, uporabljen pri procesih SUIV
Načrtuj (vzpostavi SUIV) Vzpostavi politiko SUIV, cilje, procese in postopke, ki so potrebni za
obvladovanje tveganja in izboljševanje informacijske varnosti, tako, da
se dosežejo rezultati v skladu s splošnimi politikami in cilji organizacije.
Izvedi (izvedi in vodi Izvedi in vodi delovanje politik, kontrol, procesov in postopkov SUIV.
delovanje SUIV)
Preveri (spremljaj in Oceni, in kjer je mogoče, meri delovanje procesa glede na politiko
pregleduj SUIV) SUIV, cilje in praktične izku
...