SIST EN ISO/IEC 27001:2023, Informacijska varnost, kibernetska varnost in varstvo zasebnosti - Sistemi upravljanja informacijske varnosti - Zahteve (ISO/IEC 27001:2022)
Ta dokument je bil pripravljen, da zagotovi zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema vodenja informacijske varnosti. Privzem sistema vodenja informacijske varnosti je strateška odločitev za organizacijo. Na vzpostavitev in izvedbo sistema vodenja informacijske varnosti organizacije vplivajo potrebe in cilji organizacije, varnostne zahteve, uporabljeni organizacijski procesi ter velikost in struktura organizacije. Vsi ti dejavniki, ki vplivajo na sistem, se bodo po pričakovanjih s časom spreminjali.
Sistem vodenja informacijske varnosti ohranja zaupnost, celovitost in razpoložljivost informacij z uporabo procesa za obvladovanje tveganja ter zainteresiranim stranem vzbuja zaupanje, da se tveganja ustrezno obvladujejo.
Pomembno je, da je sistem vodenja informacijske varnosti del procesov organizacije in splošne strukture vodenja in je integriran z njimi ter da je informacijska varnost sprejeta pri zasnovi procesov, informacijskih sistemov in kontrol. Pričakuje se, da bo izvajanje sistema vodenja informacijske varnosti skladno s potrebami organizacije.
Ta dokument lahko uporabljajo notranje ali zunanje stranke za ocenjevanje sposobnosti organizacije izpolnjevati lastne zahteve informacijske varnosti.
Vrstni red predstavitve zahtev v tem dokumentu ne odraža njihovega pomena ali nakazuje vrstnega reda, v katerem naj bi se izvedle. Elementi na seznamu so oštevilčeni zgolj za namene sklicevanja.
Standard ISO/IEC 27000 podaja pregled in izrazje sistemov vodenja informacijske varnosti, pri čemer se sklicuje na skupino standardov za sisteme vodenja informacijske varnosti (vključno s standardi ISO/IEC 27003[2], ISO/IEC 27004[3] in ISO/IEC 27005[4]) s povezanimi izrazi in definicijami.
Ta dokument določa zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema vodenja informacijske varnosti v okviru organizacije. Ta dokument zajema tudi zahteve za ocenjevanje in obravnavanje tveganj informacijske varnosti, ki so prilagojene potrebam organizacije. Zahteve, določene v tem dokumentu, so generične in so namenjene uporabi v vseh organizacijah ne glede na vrsto, velikost ali naravo. Izključevanje katerekoli zahteve, določene v točkah 4 do 10, ni sprejemljivo, kadar organizacija zagotavlja skladnost s tem dokumentom.
