ISO/IEC 27002:2005

SLOVENSKI STANDARD
01-maj-2008
,QIRUPDFLMVNDWHKQRORJLMD9DUQRVWQHWHKQLNH3UDYLODREQDãDQMDSULXSUDYOMDQMX
LQIRUPDFLMVNHYDUQRVWL2SRPED=GUXåXMH,62,(&SUHãWHYLOþHQY
,62,(&LQ,62,(&7HKQLþQLSRSUDYHN
Information technology - Security techniques - Code of practice for information security
management / Note: Combines ISO/IEC 17799 (2005-06) (renumbered to ISO/IEC
27002) and ISO/IEC 17799 Technical Corrigendum 1 (2007-07)
Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour la
gestion de la sécurité de l'information
Ta slovenski standard je istoveten z:
ICS:
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO/IEC
STANDARD 27002
First edition
2005-06-15
Information technology — Security
techniques — Code of practice for
information security management
Technologies de l'information — Techniques de sécurité — Code de
bonne pratique pour la gestion de la sécurité de l'information

Reference number
©
ISO/IEC 2005
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2005 – All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27002 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This first edition of ISO/IEC 27002 comprises ISO/IEC 17799:2005 and ISO/IEC 17799:2005/Cor.1:2007. Its
technical content is identical to that of ISO/IEC 17799:2005. ISO/IEC 17799:2005/Cor.1:2007 changes the
reference number of the standard from 17799 to 27002. ISO/IEC 17799:2005 and
ISO/IEC 17799:2005/Cor.1:2007 are provisionally retained until publication of the second edition of
ISO/IEC 27002.
© ISO/IEC 2005 – All rights reserved iii

INTERNATIONAL STANDARD ISO/IEC 17799:2005
TECHNICAL CORRIGENDUM 1
Published 2007-07-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

Information technology — Security techniques — Code of
practice for information security management
TECHNICAL CORRIGENDUM 1
Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour la gestion de la
sécurité de l'information
RECTIFICATIF TECHNIQUE 1
Technical Corrigendum 1 to ISO/IEC 17799:2005 was prepared by Joint Technical Committee ISO/IEC JTC 1,
Information technology, Subcommittee SC 27, IT Security techniques.

Throughout the document:
Replace “17799” with “27002”.
ICS 35.040 Ref. No. ISO/IEC 17799:2005/Cor.1:2007(E)
©  ISO/IEC 2007 – All rights reserved
Published in Switzerland
INTERNATIONAL ISO/IEC
STANDARD 17799
Second edition
2005-06-15
Information technology — Security
techniques — Code of practice for
information security management
Technologies de l'information — Techniques de sécurité — Code de
pratique pour la gestion de sécurité d'information

Reference number
ISO/IEC 17799:2005(E)
©
ISO/IEC 2005
ISO/IEC 17799:2005(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2005 – All rights reserved

ISO/IEC 17799:2005(E)
Contents                                                Page

FOREWORD. VII
0 INTRODUCTION . VIII
0.1 WHAT IS INFORMATION SECURITY?.VIII

0.2 WHY INFORMATION SECURITY IS NEEDED? .VIII
0.3 HOW TO ESTABLISH SECURITY REQUIREMENTS .IX
0.4 ASSESSING SECURITY RISKS . IX
0.5 SELECTING CONTROLS. IX
0.6 INFORMATION SECURITY STARTING POINT. IX
0.7 CRITICAL SUCCESS FACTORS . X
0.8 DEVELOPING YOUR OWN GUIDELINES . XI
1 SCOPE. 1
2 TERMS AND DEFINITIONS . 1
3 STRUCTURE OF THIS STANDARD. 4
3.1 CLAUSES . 4
3.2 MAIN SECURITY CATEGORIES. 4
4 RISK ASSESSMENT AND TREATMENT . 5
4.1 ASSESSING SECURITY RISKS . 5
4.2 TREATING SECURITY RISKS. 5
5 SECURITY POLICY . 7
5.1 INFORMATION SECURITY POLICY. 7
5.1.1 Information security policy document . 7
5.1.2 Review of the information security policy. 8
6 ORGANIZATION OF INFORMATION SECURITY. 9
6.1 INTERNAL ORGANIZATION. 9
6.1.1 Management commitment to information security. 9
6.1.2 Information security co-ordination. 10
6.1.3 Allocation of information security responsibilities. 10
6.1.4 Authorization process for information processing facilities. 11
6.1.5 Confidentiality agreements. 11
6.1.6 Contact with authorities . 12
6.1.7 Contact with special interest groups . 12
6.1.8 Independent review of information security . 13
6.2 EXTERNAL PARTIES . 14
6.2.1 Identification of risks related to external parties. 14
6.2.2 Addressing security when dealing with customers . 15
6.2.3 Addressing security in third party agreements . 16
7 ASSET MANAGEMENT. 19
7.1 RESPONSIBILITY FOR ASSETS. 19
7.1.1 Inventory of assets . 19
7.1.2 Ownership of assets . 20
7.1.3 Acceptable use of assets. 20
7.2 INFORMATION CLASSIFICATION. 21
7.2.1 Classification guidelines. 21
7.2.2 Information labeling and handling. 21
8 HUMAN RESOURCES SECURITY . 23
8.1 PRIOR TO EMPLOYMENT . 23
8.1.1 Roles and responsibilities . 23
© ISO/IEC 2005 – All rights reserved iii

ISO/IEC 17799:2005(E)
8.1.2 Screening . 23

8.1.3 Terms and conditions of employment . 24
8.2 DURING EMPLOYMENT . 25
8.2.1 Management responsibilities . 25
8.2.2 Information security awareness, education, and training . 26
8.2.3 Disciplinary process . 26
8.3 TERMINATION OR CHANGE OF EMPLOYMENT. 27
8.3.1 Termination responsibilities . 27
8.3.2 Return of assets. 27
8.3.3 Removal of access rights . 28
9 PHYSICAL AND ENVIRONMENTAL SECURITY . 29
9.1 SECURE AREAS . 29
9.1.1 Physical security perimeter . 29
9.1.2 Physical entry controls . 30
9.1.3 Securing offices, rooms, and facilities . 30
9.1.4 Protecting against external and environmental threats. 31
9.1.5 Working in secure areas . 31
9.1.6 Public access, delivery, and loading areas. 32
9.2 EQUIPMENT SECURITY. 32
9.2.1 Equipment siting and protection. 32
9.2.2 Supporting utilities . 33
9.2.3 Cabling security. 34
9.2.4 Equipment maintenance. 34
9.2.5 Security of equipment off-premises. 35
9.2.6 Secure disposal or re-use of equipment. 35
9.2.7 Removal of property . 36
10 COMMUNICATIONS AND OPERATIONS MANAGEMENT. 37
10.1 OPERATIONAL PROCEDURES AND RESPONSIBILITIES . 37
10.1.1 Documented operating procedures. 37
10.1.2 Change management . 37
10.1.3 Segregation of duties . 38
10.1.4 Separation of development, test, and operational facilities. 38
10.2 THIRD PARTY SERVICE DELIVERY MANAGEMENT . 39
10.2.1 Service delivery. 39
10.2.2 Monitoring and review of third party services. 40
10.2.3 Managing changes to third party services. 40
10.3 SYSTEM PLANNING AND ACCEPTANCE. 41
10.3.1 Capacity management . 41
10.3.2 System acceptance . 41
10.4 PROTECTION AGAINST MALICIOUS AND MOBILE CODE. 42
10.4.1 Controls against malicious code. 42
10.4.2 Controls against mobile code . 43
10.5 BACK-UP . 44
10.5.1 Information back-up . 44
10.6 NETWORK SECURITY MANAGEMENT. 45
10.6.1 Network controls. 45
10.6.2 Security of network services . 46
10.7 MEDIA HANDLING . 46
10.7.1 Management of removable media. 46
10.7.2 Disposal of media . 47
10.7.3 Information handling procedures . 47
10.7.4 Security of system documentation. 48
10.8 EXCHANGE OF INFORMATION . 48
10.8.1 Information exchange policies and procedures. 49
10.8.2 Exchange agreements . 50
10.8.3 Physical media in transit . 51
10.8.4 Electronic messaging. 52
10.8.5 Business information systems . 52
iv © ISO/IEC 2005 – All rights reserved

ISO/IEC 17799:2005(E)
10.9 ELECTRONIC COMMERCE SERVICES . 53

10.9.1 Electronic commerce . 53
10.9.2 On-Line Transactions . 54
10.9.3 Publicly available information . 55
10.10 MONITORING. 55
10.10.1 Audit logging . 55
10.10.2 Monitoring system use . 56
10.10.3 Protection of log information . 57
10.10.4 Administrator and operator logs . 58
10.10.5 Fault logging . 58
10.10.6 Clock synchronization . 58
11 ACCESS CONTROL . 60
11.1 BUSINESS REQUIREMENT FOR ACCESS CONTROL . 60
11.1.1 Access control policy . 60
11.2 USER ACCESS MANAGEMENT. 61
11.2.1 User registration. 61
11.2.2 Privilege management . 62
11.2.3 User password management. 62
11.2.4 Review of user access rights . 63
11.3 USER RESPONSIBILITIES. 63
11.3.1 Password use . 64
11.3.2 Unattended user equipment . 64
11.3.3 Clear desk and clear screen policy. 65
11.4 NETWORK ACCESS CONTROL. 65
11.4.1 Policy on use of network services . 66
11.4.2 User authentication for external connections. 66
11.4.3 Equipment identification in networks . 67
11.4.4 Remote diagnostic and configuration port protection . 67
11.4.5 Segregation in networks . 68
11.4.6 Network connection control. 68
11.4.7 Network routing control . 69
11.5 OPERATING SYSTEM ACCESS CONTROL. 69
11.5.1 Secure log-on procedures . 69
11.5.2 User identification and authentication . 70
11.5.3 Password management system. 71
11.5.4 Use of system utilities . 72
11.5.5 Session time-out. 72
11.5.6 Limitation of connection time . 72
11.6 APPLICATION AND INFORMATION ACCESS CONTROL . 73
11.6.1 Information access restriction . 73
11.6.2 Sensitive system isolation . 74
11.7 MOBILE COMPUTING AND TELEWORKING. 74
11.7.1 Mobile computing and communications . 74
11.7.2 Teleworking . 75
12 INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE. 77
12.1 SECURITY REQUIREMENTS OF INFORMATION SYSTEMS. 77
12.1.1 Security requirements analysis and specification. 77
12.2 CORRECT PROCESSING IN APPLICATIONS . 78
12.2.1 Input data validation. 78
12.2.2 Control of internal processing. 78
12.2.3 Message integrity. 79
12.2.4 Output data validation. 79
12.3 CRYPTOGRAPHIC CONTROLS . 80
12.3.1 Policy on the use of cryptographic controls . 80
12.3.2 Key management. 81
12.4 SECURITY OF SYSTEM FILES. 83
12.4.1 Control of operational software . 83
12.4.2 Protection of system test data . 84
© ISO/IEC 2005 – All rights reserved v

ISO/IEC 17799:2005(E)
12.4.3 Access control to program source code. 84
12.5 SECURITY IN DEVELOPMENT AND SUPPORT PROCESSES . 85
12.5.1 Change control procedures . 85
12.5.2 Technical review of applications after operating system changes. 86
12.5.3 Restrictions on changes to software packages. 86
12.5.4 Information leakage. 87
12.5.5 Outsourced software development. 87
12.6 TECHNICAL VULNERABILITY MANAGEMENT . 88
12.6.1 Control of technical vulnerabilities . 88
13 INFORMATION SECURITY INCIDENT MANAGEMENT . 90
13.1 REPORTING INFORMATION SECURITY EVENTS AND WEAKNESSES. 90
13.1.1 Reporting information security events. 90
13.1.2 Reporting security weaknesses . 91
13.2 MANAGEMENT OF INFORMATION SECURITY INCIDENTS AND IMPROVEMENTS . 91
13.2.1 Responsibilities and procedures . 92
13.2.2 Learning from information security incidents . 93
13.2.3 Collection of evidence. 93
14 BUSINESS CONTINUITY MANAGEMENT . 95
14.1 INFORMATION SECURITY ASPECTS OF BUSINESS CONTINUITY MANAGEMENT . 95
14.1.1 Including information security in the business continuity management process. 95
14.1.2 Business continuity and risk assessment. 96
14.1.3 Developing and implementing continuity plans including information security . 96
14.1.4 Business continuity planning framework. 97
14.1.5 Testing, maintaining and re-assessing business continuity plans. 98
15 COMPLIANCE. 100
15.1 COMPLIANCE WITH LEGAL REQUIREMENTS . 100
15.1.1 Identification of applicable legislation . 100
15.1.2 Intellectual property rights (IPR) . 100
15.1.3 Protection of organizational records. 101
15.1.4 Data protection and privacy of personal information . 102
15.1.5 Prevention of misuse of information processing facilities . 102
15.1.6 Regulation of cryptographic controls . 103
15.2 COMPLIANCE WITH SECURITY POLICIES AND STANDARDS, AND TECHNICAL COMPLIANCE . 103
15.2.1 Compliance with security policies and standards. 104
15.2.2 Technical compliance checking. 104
15.3 INFORMATION SYSTEMS AUDIT CONSIDERATIONS . 105
15.3.1 Information systems audit controls. 105
15.3.2 Protection of information systems audit tools . 105
BIBLIOGRAPHY. 107
INDEX . 108

vi © ISO/IEC 2005 – All rights reserved

ISO/IEC 17799:2005(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical
committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives,
Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft
International Standards adopted by the joint technical committee are circulated to national bodies for
voting. Publication as an International Standard requires approval by at least 75 % of the national
bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 17799 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This second edition cancels and replaces the first edition (ISO/IEC 17799:2000), which has been
technically revised.
A family of Information Security Management System (ISMS) International Standards is being
developed within ISO/IEC JTC 1/SC 27. The family includes International Standards on information
security management system requirements, risk management, metrics and measurement, and
implementation guidance. This family will adopt a numbering scheme using the series of numbers
27000 et seq.
From 2007, it is proposed to incorporate the new edition of ISO/IEC 17799 into this new numbering
scheme as ISO/IEC 27002.
© ISO/IEC 2005 – All rights reserved vii

ISO/IEC 17799:2005(E)
0 Introduction
0.1 What is information security?
Information is an asset that, like other important business assets, is essential to an organization’s

business and consequently needs to be suitably protected. This is especially important in the
increasingly interconnected business environment. As a result of this increasing interconnectivity,

information is now exposed to a growing number and a wider variety of threats and vulnerabilities
(see also OECD Guidelines for the Security of Information Systems and Networks).

Information can exist in many forms. It can be printed or written on paper, stored electronically,
transmitted by post or by using electronic means, shown on films, or spoken in conversation.
Whatever form the information takes, or means by which it is shared or stored, it should always be
appropriately protected.
Information security is the protection of information from a wide range of threats in order to ensure
business continuity, minimize business risk, and maximize return on investments and business
opportunities.
Information security is achieved by implementing a suitable set of controls, including policies,
processes, procedures, organizational structures and software and hardware functions. These controls
need to be established, implemented, monitored, reviewed and improved, where necessary, to ensure
that the specific security and business objectives of the organization are met. This should be done in
conjunction with other business management processes.
0.2 Why information security is needed?
Information and the supporting processes, systems, and networks are important business assets.
Defining, achieving, maintaining, and improving information security may be essential to maintain
competitive edge, cash flow, profitability, legal compliance, and commercial image.

Organizations and their information systems and networks are faced with security threats from a wide
range of sources, including computer-assisted fraud, espionage, sabotage, vandalism, fire or flood.
Causes of damage such as malicious code, computer hacking, and denial of service attacks have
become more common, more ambitious, and increasingly sophisticated.

Information security is important to both public and private sector businesses, and to protect critical
infrastructures. In both sectors, information security will function as an enabler, e.g. to achieve e-
government or e-business, and to avoid or reduce relevant risks. The interconnection of public and
private networks and the sharing of information resources increase the difficulty of achieving access
control. The trend to distributed computing has also weakened the effectiveness of central, specialist
control.
Many information systems have not been designed to be secure. The security that can be achieved
through technical means is limited, and should be supported by appropriate management and
procedures. Identifying which controls should be in place requires careful planning and attention to
detail. Information security management requires, as a minimum, participation by all employees in the
organization. It may also require participation from shareholders, suppliers, third parties, customers or
other external parties. Specialist advice from outside organizations may also be needed.

viii © ISO/IEC 2005 – All rights reserved

ISO/IEC 17799:2005(E)
0.3 How to establish security requirements

It is essential that an organization identifies its security requirements. There are three main sources of
security requirements.
1. One source is derived from assessing risks to the organization, taking into account the
organization’s overall business strategy and objectives. Through a risk assessment, threats to
assets are identified, vulnerability to and likelihood of occurrence is evaluated and potential
impact is estimated.
2. Another source is the legal, statutory, regulatory, and contractual requirements that an
organization, its trading partners, contractors, and service providers have to satisfy, and their
socio-cultural environment.
3. A further source is the particular set of principles, objectives and business requirements for
information processing that an organization has developed to support its operations.
0.4 Assessing security risks
Security requirements are identified by a methodical assessment of security risks. Expenditure on
controls needs to be balanced against the business harm likely to result from security failures.

The results of the risk assessment will help to guide and determine the appropriate management action
and priorities for managing information security risks, and for implementing controls selected to
protect against these risks.
Risk assessment should be repeated periodically to address any changes that might influence the risk
assessment results.
More information about the assessment of security risks can be found in clause 4.1 “Assessing
security risks”.
0.5 Selecting controls
Once security requirements and risks have been identified and decisions for the treatment of risks
have been made, appropriate controls should be selected and implemented to ensure risks are reduced
...

NORME ISO/CEI
INTERNATIONALE 27002
Première édition
2005-06-15
Technologies de l'information —
Techniques de sécurité — Code de bonne
pratique pour la gestion de la sécurité de
l'information
Information technology — Security techniques — Code of practice for
information security management

Numéro de référence
ISO/CEI 27002:2005(F)
©
ISO/CEI 2005
ISO/CEI 27002:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO/CEI 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 27002:2005(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27002 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
La première édition de l’ISO/CEI 27002 comprend l’ISO/CEI 17799:2005 et l’ISO/CEI 17799:2005/Cor.1:2007.
Son contenu technique est identique à celui de l’ISO/CEI 17799:2005. L’ISO/CEI 17799:2005/Cor.1:2007
modifie le numéro de référence de la norme de 17799 en 27002. L’ISO/CEI 17799:2005 et
l’ISO/CEI 17799:2005/Cor.1:2007 sont provisoirement retenus jusqu’à la publication de la deuxième édition de
l’ISO/CEI 27002.
© ISO/CEI 2005 – Tous droits réservés iii

NORME INTERNATIONALE ISO/CEI 17799:2005
RECTIFICATIF TECHNIQUE 1
Publié 2007-07-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

Technologies de l'information — Techniques de sécurité —
Code de bonne pratique pour la gestion de la sécurité de
l'information
RECTIFICATIF TECHNIQUE 1
Information technology — Security techniques — Code of practice for information security management
TECHNICAL CORRIGENDUM 1
Le Rectificatif technique 1 à l'ISO/CEI 17799:2005 a été élaboré par le comité technique mixte ISO/CEI JTC 1,
Technologies de l'information, sous-comité SC 27, Techniques de sécurité des technologies de l’information.

Dans tout le document:
Remplacer «17799» par «27002».

o
ICS 35.040 Réf. n ISO/CEI 17799:2005/Cor.1:2007(F)
© ISO/CEI 2007 – Tous droits réservés
Publié en Suisse
NORME ISO/CEI
INTERNATIONALE 17799
Deuxième édition
2005-06-15
Technologies de l'information —
Techniques de sécurité — Code de bonne
pratique pour la gestion de la sécurité de
l'information
Information technology — Security techniques — Code of practice for
information security management

Numéro de référence
ISO/CEI 17799:2005(F)
©
ISO/CEI 2005
ISO/CEI 17799:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

©  ISO/CEI 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 17799:2005(F)
Sommaire Page
Avant-propos. vii
0 Introduction . viii
1 Domaine d'application. 1
2 Termes et définitions. 1
3 Structure de la présente Norme internationale .3
3.1 Articles. 3
3.2 Principales rubriques. 4
4 Appréciation et traitement du risque. 4
4.1 Appréciation du risque lié à la sécurité. 4
4.2 Traitement du risque lié à la sécurité . 5
5 Politique de sécurité. 6
5.1 Politique de sécurité de l’information. 6
5.1.1 Document de politique de sécurité de l’information. 6
5.1.2 Réexamen de la politique de sécurité de l’information . 7
6 Organisation de la sécurité de l’information . 8
6.1 Organisation interne. 8
6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information . 8
6.1.2 Coordination de la sécurité de l’information . 9
6.1.3 Attribution des responsabilités en matière de sécurité de l’information . 9
6.1.4 Système d’autorisation concernant les moyens de traitement de l’information . 10
6.1.5 Engagements de confidentialité. 10
6.1.6 Relations avec les autorités . 11
6.1.7 Relations avec des groupes de spécialistes . 12
6.1.8 Revue indépendante de la sécurité de l’information . 12
6.2 Tiers. 13
6.2.1 Identification des risques provenant des tiers . 13
6.2.2 La sécurité et les clients . 15
6.2.3 La sécurité dans les accords conclus avec des tiers. 16
7 Gestion des biens. 18
7.1 Responsabilités relatives aux biens. 18
7.1.1 Inventaire des biens . 19
7.1.2 Propriété des biens. 20
7.1.3 Utilisation correcte des biens. 20
7.2 Classification des informations . 21
7.2.1 Lignes directrices pour la classification . 21
7.2.2 Marquage et manipulation de l’information . 22
8 Sécurité liée aux ressources humaines . 22
8.1 Avant le recrutement . 22
8.1.1 Rôles et responsabilités. 22
8.1.2 Sélection. 23
8.1.3 Conditions d’embauche . 24
8.2 Pendant la durée du contrat . 25
8.2.1 Responsabilités de la direction. 25
8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information. 26
8.2.3 Processus disciplinaire. 26
8.3 Fin ou modification de contrat . 27
8.3.1 Responsabilités en fin de contrat . 27
8.3.2 Restitution des biens. 27
© ISO/CEI 2005 – Tous droits réservés iii

ISO/CEI 17799:2005(F)
8.3.3 Retrait des droits d’accès . 28
9 Sécurité physique et environnementale . 29
9.1 Zones sécurisées. 29
9.1.1 Périmètre de sécurité physique. 29
9.1.2 Contrôles physiques des accès . 30
9.1.3 Sécurisation des bureaux, des salles et des équipements . 30
9.1.4 Protection contre les menaces extérieures et environnementales . 31
9.1.5 Travail dans les zones sécurisées . 31
9.1.6 Zones d’accès public, de livraison et de chargement. 32
9.2 Sécurité du matériel. 32
9.2.1 Choix de l’emplacement et protection du matériel.33
9.2.2 Services généraux. 33
9.2.3 Sécurité du câblage . 34
9.2.4 Maintenance du matériel . 35
9.2.5 Sécurité du matériel hors des locaux . 35
9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel . 36
9.2.7 Sortie d’un bien . 36
10 Gestion de l’exploitation et des télécommunications. 37
10.1 Procédures et responsabilités liées à l’exploitation .37
10.1.1 Procédures d’exploitation documentées. 37
10.1.2 Gestion des modifications . 38
10.1.3 Séparation des tâches . 38
10.1.4 Séparation des équipements de développement, de test et d’exploitation. 39
10.2 Gestion de la prestation de service par un tiers. 40
10.2.1 Prestation de service . 40
10.2.2 Surveillance et réexamen des services tiers. 40
10.2.3 Gestion des modifications dans les services tiers . 41
10.3 Planification et acceptation du système. 42
10.3.1 Dimensionnement . 42
10.3.2 Acceptation du système. 42
10.4 Protection contre les codes malveillant et mobile .43
10.4.1 Mesures contre les codes malveillants . 43
10.4.2 Mesures contre le code mobile. 44
10.5 Sauvegarde. 45
10.5.1 Sauvegarde des informations. 45
10.6 Gestion de la sécurité des réseaux. 46
10.6.1 Mesures sur les réseaux . 46
10.6.2 Sécurité des services réseau. 47
10.7 Manipulation des supports . 48
10.7.1 Gestion des supports amovibles. 48
10.7.2 Mise au rebut des supports . 48
10.7.3 Procédures de manipulation des informations. 49
10.7.4 Sécurité de la documentation système . 50
10.8 Échange des informations . 50
10.8.1 Politiques et procédures d’échange des informations . 50
10.8.2 Accords d’échange. 52
10.8.3 Supports physiques en transit . 53
10.8.4 Messagerie électronique. 54
10.8.5 Systèmes d’information d’entreprise. 54
10.9 Services de commerce électronique. 55
10.9.1 Commerce électronique. 55
10.9.2 Transactions en ligne . 56
10.9.3 Informations à disposition du public . 57
10.10 Surveillance. 58
10.10.1 Rapport d’audit. 58
10.10.2 Surveillance de l’exploitation du système. 59
10.10.3 Protection des informations journalisées . 60
10.10.4 Journal administrateur et journal des opérations . 61
10.10.5 Rapports de défaut . 61
iv © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 17799:2005(F)
10.10.6 Synchronisation des horloges . 62
11 Contrôle d’accès. 62
11.1 Exigences métier relatives au contrôle d’accès. 62
11.1.1 Politique de contrôle d’accès . 62
11.2 Gestion de l’accès utilisateur . 63
11.2.1 Enregistrement des utilisateurs . 64
11.2.2 Gestion des privilèges. 65
11.2.3 Gestion du mot de passe utilisateur. 65
11.2.4 Réexamen des droits d’accès utilisateurs . 66
11.3 Responsabilités utilisateurs . 67
11.3.1 Utilisation du mot de passe . 67
11.3.2 Matériel utilisateur laissé sans surveillance. 68
11.3.3 Politique du bureau propre et de l’écran vide . 68
11.4 Contrôle d’accès au réseau . 69
11.4.1 Politique relative à l’utilisation des services en réseau . 69
11.4.2 Authentification de l’utilisateur pour les connexions externes. 70
11.4.3 Identification des matériels en réseau. 71
11.4.4 Protection des ports de diagnostic et de configuration à distance . 71
11.4.5 Cloisonnement des réseaux . 71
11.4.6 Mesure relative à la connexion réseau. 72
11.4.7 Contrôle du routage réseau. 73
11.5 Contrôle d’accès au système d’exploitation. 73
11.5.1 Ouverture de sessions sécurisées . 73
11.5.2 Identification et authentification de l’utilisateur. 74
11.5.3 Système de gestion des mots de passe. 75
11.5.4 Emploi des utilitaires système . 76
11.5.5 Déconnexion automatique des sessions inactives. 77
11.5.6 Limitation du temps de connexion . 77
11.6 Contrôle d’accès aux applications et à l’information . 77
11.6.1 Restriction d’accès à l’information. 78
11.6.2 Isolement des systèmes sensibles. 78
11.7 Informatique mobile et télétravail . 79
11.7.1 Informatique mobile et télécommunications . 79
11.7.2 Télétravail. 80
12 Acquisition, développement et maintenance des systèmes d’information. 81
12.1 Exigences de sécurité applicables aux systèmes d’information . 81
12.1.1 Analyse et spécification des exigences de sécurité.82
12.2 Bon fonctionnement des applications. 82
12.2.1 Validation des données d’entrée. 83
12.2.2 Mesure relative au traitement interne. 83
12.2.3 Intégrité des messages . 84
12.2.4 Validation des données de sortie. 85
12.3 Mesures cryptographiques. 85
12.3.1 Politique d’utilisation des mesures cryptographiques. 85
12.3.2 Gestion des clés. 87
12.4 Sécurité des fichiers système . 88
12.4.1 Mesure relative aux logiciels en exploitation . 88
12.4.2 Protection des données système d’essai . 89
12.4.3 Contrôle d’accès au code source du programme . 90
12.5 Sécurité en matière de développement et d’assistance technique. 91
12.5.1 Procédures de contrôle des modifications. 91
12.5.2 Réexamen technique des applications après modification du système d’exploitation. 92
12.5.3 Restrictions relatives à la modification des progiciels. 92
12.5.4 Fuite d’informations . 93
12.5.5 Externalisation du développement logiciel. 93
12.6 Gestion des vulnérabilités techniques. 94
12.6.1 Mesure relative aux vulnérabilités techniques . 94
13 Gestion des incidents liés à la sécurité de l’information . 95
© ISO/CEI 2005 – Tous droits réservés v

ISO/CEI 17799:2005(F)
13.1 Signalement des événements et des failles liés à la sécurité de l’information. 95
13.1.1 Signalement des événements liés à la sécurité de l’information. 96
13.1.2 Signalement des failles de sécurité . 97
13.2 Gestion des améliorations et incidents liés à la sécurité de l’information. 97
13.2.1 Responsabilités et procédures. 98
13.2.2 Exploitation des incidents liés à la sécurité de l’information déjà survenus . 99
13.2.3 Collecte de preuves . 99
14 Gestion du plan de continuité de l’activité. 100
14.1 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité . 100
14.1.1 Intégration de la sécurité de l’information dans le processus de gestion du plan de
continuité de l’activité . 101
14.1.2 Continuité de l’activité et appréciation du risque. 101
14.1.3 Élaboration et mise en œuvre des plans de continuité intégrant la sécurité de
l’information. 102
14.1.4 Cadre de la planification de la continuité de l’activité . 103
14.1.5 Mise à l’essai, gestion et appréciation constante des plans de continuité de l’activité . 104
15 Conformité . 105
15.1 Conformité avec les exigences légales . 105
15.1.1 Identification de la législation en vigueur . 105
15.1.2 Droits de propriété intellectuelle . 105
15.1.3 Protection des enregistrements de l’organisme. 106
15.1.4 Protection des données et confidentialité des informations relatives à la vie privée. 107
15.1.5 Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information . 108
15.1.6 Réglementation relative aux mesures cryptographiques. 109
15.2 Conformité avec les politiques et normes de sécurité et conformité technique . 109
15.2.1 Conformité avec les politiques et les normes de sécurité . 109
15.2.2 Vérification de la conformité technique. 110
15.3 Prises en compte de l’audit du système d’information . 110
15.3.1 Contrôles de l’audit du système d’information. 111
15.3.2 Protection des outils d’audit du système d’information. 111
Bibliographie . 112

vi © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 17799:2005(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 17799 a été élaborée par le comité technique ISO/TC JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 17799:2000), qui a fait l'objet d'une
révision technique. À l’inverse de la version anglaise, la version française ne comporte pas d’Index.
Une famille de Normes internationales concernant le système de gestion de la sécurité de l’information (ISMS,
de Information Security Management System) est en préparation au sein de l’ISO/CEI JTC 1/SC 27. La
famille inclut des Normes internationales relatives aux exigences du système de gestion de la sécurité de
l’information, à la gestion du risque, à la métrologie et au mesurage, ainsi qu’à un guide de mise en
application. La famille adoptera un schéma de numérotation utilisant la série des nombres 27000 et suivants.
À partir de 2007, il est proposé d’incorporer la nouvelle édition de l’ISO/CEI 17799 dans ce schéma de
numérotation en tant qu’ISO/CEI 27002.

© ISO/CEI 2005 – Tous droits réservés vii

ISO/CEI 17799:2005(F)
0 Introduction
0.1 Qu’est-ce que la sécurité de l’information ?
L’information constitue un bien important pour l’organisme; elle est à ce titre un élément important de l’activité
de l’organisme et elle nécessite une protection adéquate. Ce point s’avère particulièrement important dans
l’environnement actuel qui comporte des interconnexions de plus en plus nombreuses. Du fait du nombre
croissant de ces interconnexions, l’information est de plus en plus exposée et vulnérable (voir également les
lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information).
L’information se présente sur des supports variés. Elle peut être disponible sur papier, stockée
électroniquement, transmise par voie postale ou électronique, diffusée sur des supports audiovisuels ou
verbalement. Quel que soit le support ou le moyen utilisé pour la partager ou la stocker, il convient de toujours
protéger l’information de manière adaptée.
La sécurité de l’information vise à protéger l’information contre une large gamme de menaces, de manière à
garantir la continuité des transactions, à réduire le plus possible le risque et à optimiser le retour sur
investissement ainsi que les opportunités en termes d’activité pour l’organisme.
La sécurité de l’information est assurée par la mise en œuvre de mesures adaptées, qui regroupent des
règles, des processus, des procédures, des structures organisationnelles, et des fonctions matérielles et
logicielles. Ces mesures doivent être spécifiées, mises en œuvre, suivies, réexaminées et améliorées aussi
souvent que nécessaire, de manière à atteindre les objectifs spécifiques en matière de sécurité et d’activité
d’un organisme. Pour ce faire, il convient d’agir de manière concertée avec les autres processus de gestion
de l’organisme.
0.2 En quoi la sécurité de l’information est-elle nécessaire ?
L’information et les processus, systèmes et réseaux qui en permettent le traitement constituent des biens
importants pour un organisme. Il peut s’avérer crucial de définir, réaliser, entretenir et améliorer la sécurité de
l’information pour faire face à la concurrence, maintenir les liquidités, la rentabilité, la mise en conformité avec
la loi et l’image commerciale.
Les menaces qui pèsent sur les organismes et leurs systèmes et réseaux d’information sont d’origines très
diverses: fraude informatique, espionnage, sabotage, vandalisme, incendies ou inondations par exemple. Des
techniques d’attaque comme les codes malveillants, le piratage informatique et les attaques par déni de
service deviennent de plus en plus répandues et sophistiquées.
La sécurité de l’information revêt de l’importance pour les organismes des secteurs public et privé, et permet
de protéger les infrastructures critiques. Dans ces deux secteurs, la sécurité de l’information fait office
d’activateur. En d’autres termes, elle rend possible l’administration ou le commerce en ligne, et permet
d’éviter le risque qui en découle ou d’en réduire l’impact. L’interconnexion des réseaux public et privé, ainsi
que le partage des sources d’information, rendent le contrôle d’accès plus difficile. Le développement de
l’informatique distribuée a également affaibli l’efficacité du contrôle spécialisé et centralisé.
De nombreux systèmes d’information ont été spécifiés sans que soient pris en compte les besoins de sécurité.
La sécurité qui peut être mise en œuvre par des moyens techniques est limitée et il convient de la prendre en
charge à l’aide de moyens de gestion et de procédures adaptés. Pour identifier les mesures à mettre en place,
il convient de procéder à une planification minutieuse et de prêter attention aux détails. La participation de
tous les salariés d’un organisme est indispensable à une bonne gestion de la sécurité de l’information. La
participation des actionnaires, des fournisseurs, des tiers, des clients et autres peut également s’avérer
nécessaire. De même, l’avis de spécialistes tiers peut être également nécessaire.
viii © ISO/CEI 2005 – Tous droits réservés

ISO/CEI 17799:2005(F)
0.3 Définition des exigences en matière de sécurité
Un organisme doit impérativement identifier ses exigences en matière de sécurité. Ces exigences proviennent
de trois sources principales.
1. La première est l’appréciation du risque propre à l’organisme, en prenant en compte la stratégie et les
objectifs généraux de l’organisme. L’appréciation du risque permet d’identifier les menaces pesant sur les
biens, d’analyser les vulnérabilités, de mesurer la vraisemblance des attaques et d’en évaluer l’impact
potentiel.
2. La deuxième concerne, d’une part, les exigences légales, statutaires, réglementaires, et contractuelles
auxquelles l’organisme et ses partenaires commerciaux, contractants et prestataires de service, doivent
répondre et, d’autre part, l’environnement socioculturel.
3. La troisième correspond à l’ensemble de principes, d’objectifs et d’exigences métier en matière de
traitement de l’information que l’organisme s’est constitués pour mener à bien ses activités.
0.4 Appréciation du risque lié à la sécurité
Les exigences en matière de sécurité sont identifiées par une évaluation méthodique des risques. Les
dépenses consacrées aux mesures et les dommages susceptibles de résulter de défaillances de la sécurité
doivent être mis en perspective.
Les résultats de l’appréciation du risque permettent de définir les actions de gestion appropriées et les
priorités en matière de management du risque, et d’identifier les mesures adaptées destinées à contrer ces
risques.
Il convient de procéder régulièrement à l’appréciation du risque, afin de tenir compte de toute modification
pouvant influer les résultats de l’analyse.
Pour plus ample information sur l’appréciation du risque lié à la sécurité, voir 4.1 «Appréciation du risque lié à
la sécurité».
0.5 Sélection des mesures
Lorsque les exigences et les risques liés à la sécurité ont été identifiés, et que les décisions de traitement des
risques ont été prises, il convient de sélectionner et de mettre en œuvre des mesures appropriées, afin de
ramener les risques à un niveau acceptable. Selon les cas, il
...

SLOVENSKI SIST ISO/IEC 27002
STANDARD maj 2008
Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja pri

upravljanju informacijske varnosti / Opomba: Združuje ISO/IEC 17799 (2005-
06) (preštevilčen v ISO/IEC 27002) in ISO/IEC 17799 Tehnični popravek 1
(2007-07)
Information technology – Security techniques – Code of practice for information
security management / Note: Combines ISO/IEC 17799 (2005-06) (renumbered
to ISO/IEC 27002) and ISO/IEC 17799 Technical Corrigendum 1 (2007-07)

Technologies de l'information – Techniques de sécurité – Code de bonne
pratique pour la gestion de la sécurité de l'information

Referenčna oznaka
ICS 35.040 SIST ISO/IEC 27002:2008 (sl)

Nadaljevanje na straneh od 2 do 117

© 2013-05 Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

SIST ISO/IEC 27002 : 2008
NACIONALNI UVOD
Standard SIST ISO/IEC 27002 (sl), Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja
pri upravljanju informacijske varnosti, 2008, ima status slovenskega standarda in je istoveten
mednarodnemu standardu ISO/IEC 27002 (en), Information technology – Security techniques – Code
of practice for information security management, prva izdaja, 2005-06-15.

NACIONALNI PREDGOVOR
Mednarodni standard ISO/IEC 27002:2005 je pripravil pododbor združenega tehničnega odbora
Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC
1/SC 27 Varnostne tehnike v informacijski tehnologiji.

Slovenski standard SIST ISO/IEC 27002:2008 je prevod mednarodnega standarda ISO/IEC
27002:2005. Slovenski standard SIST ISO/IEC 27002:2008 je pripravil tehnični odbor SIST/TC ITC
Informacijska tehnologija. V primeru spora glede besedila slovenskega prevoda je odločilen izvirni
mednarodni standard v angleškem jeziku.

Odločitev za izdajo tega standarda je dne 27. marca 2008 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
– privzem standarda ISO/IEC 27002:2005

OPOMBE
– Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27002:2008 to pomeni “slovenski standard”.

– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

– Definicije pojmov so povzete po naslednjih mednarodnih standardih:
ISO/IEC 13335-1, Information technology – Security techniques – Management of information
and communications technology security – Part 1: Concepts and models for information and
communications technology security management
ISO/IEC TR 18044, Information technology – Security techniques – Information security incident
management
ISO/IEC Guide 2, Standardization and related activities – General vocabulary
ISO/IEC Guide 73, Risk management – Vocabulary

– V besedilu SIST ISO/IEC 27002 so v točkah 2.1, 2.3, 2.6, 2.7, 2.9, 2.10, 2.11, 2.12, 2.13, 2.14,
2.15, 2.16, 2.17, 4.1, 5.1.1, 6.1.1, 6.1.8, 7.1.1, 10.6.1, 12.1.1, 12.3.1, 12.3.2, 12.4.3, 12.5.4,
13.1.1 in 15.1.3 navedeni mednarodni standardi ISO/IEC 13335-1, ISO/IEC 13335-3, ISO/IEC TR
18044, ISO 19011, ISO/IEC 18028, ISO/IEC 11770, ISO/IEC 9796, ISO/IEC 14888, ISO 10007,
ISO/IEC 12207, ISO/IEC 15408, ISO 15489-1, ISO/IEC Guide 2, ISO/IEC Guide 73 in IEEE
P1363. Pri tem je vedno mišljena njihova zadnja izdaja.

– Standard ISO/IEC 17799 je bil leta 2007 preštevilčen v ISO/IEC 27002.

SIST ISO/IEC 27002 : 2008
VSEBINA Stran
Predgovor k standardu ISO/IEC 27002:2005.8
Predgovor k standardu ISO/IEC 17799:2005.9
0 Uvod .10
0.1 Kaj je informacijska varnost.10
0.2 Zakaj je informacijska varnost potrebna.10
0.3 Kako vzpostaviti varnostne zahteve.10
0.4 Ocenjevanje varnostnih tveganj .11
0.5 Izbiranje kontrol .11
0.6 Izhodišče informacijske varnosti .11
0.7 Ključni dejavniki uspeha .12
0.8 Razvijanje lastnih smernic.12
1 Področje uporabe .13
2 Izrazi in definicije .13
3 Struktura tega standarda.15
3.1 Točke.15
3.2 Glavne varnostne kategorije.15
4 Ocenjevanje in obravnavanje tveganja .16
4.1 Ocenjevanje varnostnih tveganj .16
4.2 Obravnavanje varnostnih tveganj.16
5 Varnostna politika.17
5.1 Informacijska varnostna politika .17
5.1.1 Dokument o informacijski varnostni politiki .17
5.1.2 Pregled informacijske varnostne politike.18
6 Organiziranje informacijske varnosti .19
6.1 Notranja organizacija.19
6.1.1 Zavezanost vodstva k informacijski varnosti.19
6.1.2 Usklajevanje informacijske varnosti .20
6.1.3 Dodelitev odgovornosti na področju informacijske varnosti.20
6.1.4 Proces odobritve naprav za obdelavo informacij .21
6.1.5 Dogovori o zaupnosti.21
6.1.6 Stiki s pristojnimi organi.22
6.1.7 Stik s specifičnimi interesnimi skupinami .22
6.1.8 Neodvisni pregled informacijske varnosti.23
6.2 Zunanje stranke.23
6.2.1 Prepoznavanje tveganj, povezanih z zunanjimi strankami .23
6.2.2 Obravnavanje varnosti pri poslovanju s strankami .25
6.2.3 Obravnavanje varnosti v dogovorih s tretjimi strankami .26
7 Upravljanje dobrin.28
7.1 Odgovornost za dobrine.28
7.1.1 Popis dobrin.28
SIST ISO/IEC 27002 : 2008
7.1.2 Lastništvo nad dobrinami .29
7.1.3 Sprejemljiva uporaba dobrin.29
7.2 Razvrstitev informacij .30
7.2.1 Smernice za razvrščanje.30
7.2.2 Označevanje informacij in ravnanje z njimi.30
8 Varnost človeških virov.31
8.1 Pred zaposlovanjem.31
8.1.1 Vloge in odgovornosti.31
8.1.2 Preverjanje .32
8.1.3 Določila in pogoji za zaposlitev .32
8.2 Med zaposlitvijo.33
8.2.1 Odgovornosti vodstva.33
8.2.2 Ozaveščenost, izobraževanje in usposabljanje o informacijski varnosti .34
8.2.3 Disciplinski proces.34
8.3 Prekinitev ali sprememba zaposlitve.35
8.3.1 Odgovornosti ob prenehanju zaposlitve.35
8.3.2 Vračilo dobrin.36
8.3.3 Preklic pravic dostopa .36
9 Fizična in okoljska varnost .37
9.1 Varovana območja .37
9.1.1 Varovanje fizičnih meja območja.37
9.1.2 Kontrole fizičnega vstopa .38
9.1.3 Varovanje pisarn, sob in naprav.38
9.1.4 Zaščita pred zunanjimi in okoljskimi grožnjami .38
9.1.5 Delo na varovanih območjih.39
9.1.6 Javni dostop, dostavne in nakladalne površine .39
9.2 Varnost opreme.40
9.2.1 Namestitev in zaščita opreme .40
9.2.2 Podporna oskrba .40
9.2.3 Varnost ožičenja.41
9.2.4 Vzdrževanje opreme .42
9.2.5 Varnost opreme zunaj prostorov organizacije.42
9.2.6 Varna odstranitev ali ponovna uporaba opreme .43
9.2.7 Odstranitev premoženja .43
10 Upravljanje komunikacij in obratovanja.43
10.1 Operativni postopki in odgovornosti .43
10.1.1 Dokumentirani postopki delovanja .44
10.1.2 Upravljanje sprememb .44
10.1.3 Razmejitev dolžnosti .45
10.1.4 Ločevanje razvojnih, testnih in obratovalnih naprav .45
10.2 Upravljanje storitev tretjih strank .46
10.2.1 Izvedba storitev .46
SIST ISO/IEC 27002 : 2008
10.2.2 Spremljanje in pregledovanje storitev tretjih strank .46
10.2.3 Upravljanje sprememb storitev tretjih strank.47
10.3 Načrtovanje in prevzem sistema .48
10.3.1 Upravljanje zmogljivosti.48
10.3.2 Prevzem sistema.48
10.4 Zaščita pred zlonamerno in mobilno kodo .49
10.4.1 Kontrole za zaščito pred zlonamerno kodo.49
10.4.2 Kontrole nad mobilno kodo.50
10.5 Varnostno kopiranje .51
10.5.1 Varnostno kopiranje informacij.51
10.6 Upravljanje varovanja omrežij .52
10.6.1 Omrežne kontrole.52
10.6.2 Varovanje omrežnih storitev.52
10.7 Ravnanje z nosilci podatkov/informacij .53
10.7.1 Upravljanje izmenljivih nosilcev podatkov/informacij .53
10.7.2 Odstranjevanje nosilcev podatkov/informacij.54
10.7.3 Postopki ravnanja z informacijami.54
10.7.4 Varovanje sistemske dokumentacije.55
10.8 Izmenjava informacij.55
10.8.1 Politike in postopki izmenjave informacij.55
10.8.2 Dogovori o izmenjavi .57
10.8.3 Fizični nosilci podatkov/informacij med prenašanjem.57
10.8.4 Elektronsko sporočanje.58
10.8.5 Poslovni informacijski sistemi.58
10.9 Storitve elektronskega poslovanja .59
10.9.1 Elektronsko poslovanje .59
10.9.2 Sprotne transakcije.60
10.9.3 Javno dostopne informacije.61
10.10 Spremljanje.62
10.10.1 Beleženje dogodkov za zagotavljanje revizijske sledi.62
10.10.2 Spremljanje uporabe sistema.62
10.10.3 Zaščita zabeleženih informacij .64
10.10.4 Beleženje aktivnosti administratorjev in operaterjev.64
10.10.5 Beleženje okvar.64
10.10.6 Uskladitev ur.65
11 Nadzor dostopa .65
11.1 Poslovne zahteve za nadzor dostopa .65
11.1.1 Politika nadzora dostopa .65
11.2 Upravljanje uporabniškega dostopa.67
11.2.1 Registracija uporabnika.67
11.2.2 Upravljanje posebnih dostopnih pravic .68
11.2.3 Upravljanje uporabniških gesel .68
SIST ISO/IEC 27002 : 2008
11.2.4 Pregled uporabniških pravic dostopa.69
11.3 Odgovornosti uporabnikov .69
11.3.1 Uporaba gesel .69
11.3.2 Nenadzorovana uporabniška oprema.70
11.3.3 Politiki čiste mize in praznega zaslona.70
11.4 Nadzor dostopa do omrežja .71
11.4.1 Politika uporabe omrežnih storitev .71
11.4.2 Preverjanje verodostojnosti uporabnikov oddaljenih povezav .72
11.4.3 Istovetnost opreme v omrežjih .72
11.4.4 Zaščita vrat za oddaljeno diagnosticiranje in konfiguriranje .73
11.4.5 Ločevanje v omrežjih.73
11.4.6 Nadzor omrežne povezave .74
11.4.7 Nadzor usmerjanja v omrežjih.74
11.5 Nadzor dostopa do operacijskih sistemov .75
11.5.1 Varni postopki prijave .75
11.5.2 Preverjanje istovetnosti in verodostojnosti uporabnika .76
11.5.3 Sistem upravljanja gesel .76
11.5.4 Uporaba sistemskih pripomočkov .77
11.5.5 Prekinitev seje .78
11.5.6 Omejitev časa povezave .78
11.6 Nadzor dostopa do aplikacij in informacij.78
11.6.1 Omejitev dostopa do informacij.79
11.6.2 Izolacija občutljivih sistemov .79
11.7 Mobilno računalništvo in delo na daljavo .79
11.7.1 Mobilno računalništvo in komunikacije.80
11.7.2 Delo na daljavo.81
12 Pridobivanje, razvoj in vzdrževanje informacijskih sistemov .82
12.1 Varnostne zahteve informacijskih sistemov .82
12.1.1 Analiza in specifikacije varnostnih zahtev.82
12.2 Pravilna obdelava v aplikacijah .83
12.2.1 Potrjevanje vhodnih podatkov .83
12.2.2 Nadzor notranje obdelave .83
12.2.3 Celovitost sporočil .84
12.2.4 Potrjevanje izhodnih podatkov .85
12.3 Kriptografske kontrole .85
12.3.1 Politika uporabe kriptografskih kontrol .85
12.3.2 Upravljanje ključev .86
12.4 Varnost sistemskih datotek .87
12.4.1 Nadzor operativne programske opreme .87
12.4.2 Zaščita sistemskih testnih podatkov.88
12.4.3 Nadzor dostopa do programske izvorne kode .89
12.5 Varnost v procesih razvoja in podpore.90
SIST ISO/IEC 27002 : 2008
12.5.1 Postopki nadzora sprememb .90
12.5.2 Tehnični pregled aplikacij po spremembah operacijskih sistemov .91
12.5.3 Omejitve pri spremembah programskih paketov .91
12.5.4 Uhajanje informacij.91
12.5.5 Zunanje izvajanje razvoja programske opreme .92
12.6 Tehnično upravljanje ranljivosti .92
12.6.1 Nadzor tehničnih ranljivosti .92
13 Upravljanje informacijskih varnostnih incidentov .94
13.1 Poročanje o informacijskih varnostnih dogodkih in pomanjkljivostih .94
13.1.1 Poročanje o informacijskih varnostnih dogodkih.94
13.1.2 Poročanje o varnostnih pomanjkljivostih.95
13.2 Upravljanje informacijskih varnostnih incidentov in izboljšave.95
13.2.1 Odgovornosti in postopki.96
13.2.2 Učenje iz informacijskih varnostnih incidentov.97
13.2.3 Zbiranje dokazov .97
14 Upravljanje neprekinjenega poslovanja .98
14.1 Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja .98
14.1.1 Vključevanje informacijske varnosti v proces upravljanja neprekinjenega poslovanja.98
14.1.2 Neprekinjeno poslovanje in ocenjevanje tveganja.99
14.1.3 Razvoj in izvajanje načrtov neprekinjenega poslovanja z vključevanjem informacijske
varnosti.99
14.1.4 Okvir načrtovanja neprekinjenega poslovanja . 100
14.1.5 Testiranje, vzdrževanje in ponovno ocenjevanje načrtov neprekinjenega poslovanja . 101
15 Skladnost . 102
15.1 Skladnost z zakonodajo . 102
15.1.1 Prepoznavanje veljavne zakonodaje. 102
15.1.2 Pravice intelektualne lastnine. 102
15.1.3 Zaščita organizacijskih zapisov. 103
15.1.4 Zaščita podatkov in zasebnost osebnih podatkov . 104
15.1.5 Preprečevanje zlorabe naprav za obdelavo informacij . 104
15.1.6 Uporaba kriptografskih kontrol . 105
15.2 Skladnost z varnostnimi politikami in standardi ter tehnična skladnost . 106
15.2.1 Skladnost z varnostnimi politikami in standardi . 106
15.2.2 Tehnično preverjanje skladnosti. 106
15.3 Upoštevanje presoj informacijskih sistemov . 107
15.3.1 Kontrole presoje informacijskih sistemov. 107
15.3.2 Zaščita orodij za presojo informacijskih sistemov. 107
Literatura . 109
Indeks . 110

SIST ISO/IEC 27002 : 2008
Predgovor k standardu ISO/IEC 27002:2005
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC vzpostavila
združeni tehnični odbor ISO/IEC JTC 1.

Mednarodni standardi so pripravljeni v skladu s pravili, podanimi v 2. delu Direktiv ISO/IEC.

Glavna naloga tehničnih odborov je priprava mednarodnih standardov. Osnutki mednarodnih
standardov, ki jih sprejmejo tehnični odbori, se pošljejo vsem članom v glasovanje. Za objavo
mednarodnega standarda je treba pridobiti soglasje najmanj 75 odstotkov članov, ki se udeležijo
glasovanja.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega mednarodnega standarda predmet
patentnih pravic. ISO in IEC ne prevzemata odgovornosti za prepoznavanje katerih koli ali vseh takih
patentnih pravic.
ISO/IEC 27002 je pripravil združeni tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor
SC 27 Varnostne tehnike IT.
Prva izdaja tega standarda ISO/IEC 27002 združuje ISO/IEC 17799:2005 in ISO/IEC
17799:2005/Cor.1:2007. Njena tehnična vsebina je istovetna vsebini ISO/IEC 17799:2005. Popravek
ISO/IEC 17799:2005/Cor.1:2007 spreminja referenčno številko standarda iz 17799 v 27002. ISO/IEC
17799:2005 in ISO/IEC 17799:2005/Cor.1: 2007 sta začasno zadržana do objave druge izdaje
ISO/IEC 27002.
SIST ISO/IEC 27002 : 2008
Predgovor k standardu ISO/IEC 17799:2005

ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC vzpostavila
združeni tehnični odbor ISO/IEC JTC 1.

Mednarodni standardi so pripravljeni v skladu s pravili, podanimi v 2. delu Direktiv ISO/IEC.

Glavna naloga tehničnih odborov je priprava mednarodnih standardov. Osnutki mednarodnih
standardov, ki jih sprejmejo tehnični odbori, se pošljejo vsem članom v glasovanje. Za objavo
mednarodnega standarda je treba pridobiti soglasje najmanj 75 odstotkov članov, ki se udeležijo
glasovanja.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega mednarodnega standarda predmet
patentnih pravic. ISO in IEC ne prevzemata odgovornosti za prepoznavanje katerih koli ali vseh takih
patentnih pravic.
ISO/IEC 17799 je pripravil združeni tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor
SC 27 Varnostne tehnike IT.
Ta druga izdaja razveljavlja in nadomešča prvo izdajo (ISO/IEC 17799:2000), ki je bila tehnično
spremenjena.
Skupina mednarodnih standardov o sistemu upravljanja informacijske varnosti (ISMS) se razvija v
okviru ISO/IEC JTC 1/SC 27. Skupina vključuje mednarodne standarde o zahtevah za sistem
upravljanja informacijske varnosti, obvladovanje tveganja, metrike in merjenja ter napotke za
izvajanje. Ta družina bo sprejela sistem številčenja z nizom številk 27000 in zaporedno naprej.

Od leta 2007 se predlaga vključitev nove izdaje ISO/IEC 17799 v to novo shemo številčenja kot
ISO/IEC 27002.
SIST ISO/IEC 27002 : 2008
0 Uvod
0.1 Kaj je informacijska varnost

Informacija je dobrina, ki je tako kot druge pomembne poslovne dobrine bistvenega pomena za
poslovanje organizacije in jo je zato treba ustrezno zaščititi. To je še posebej pomembno v sedanjem,
vse bolj povezanem poslovnem okolju. Kot rezultat tega povečanja medsebojne povezanosti so
informacije zdaj vse bolj izpostavljene različnim grožnjam in ranljivostim (glej tudi Smernice OECD za
varnost informacijskih sistemov in omrežij).

Informacija lahko obstaja v različnih oblikah. Lahko je natisnjena ali napisana na papirju, shranjena v
elektronski obliki, prenesena po pošti ali z uporabo elektronskih sredstev, prikazana na filmu ali
izgovorjena v pogovoru. Ne glede na obliko informacije ali sredstva, s katerim je v skupni rabi, mora
vedno biti ustrezno zaščitena.

Informacijska varnost je zaščita informacij pred različnimi grožnjami, da bi zagotovili neprekinjeno
poslovanje, zmanjšali poslovno tveganje ter čim bolj povečali donosnost naložb in poslovnih
priložnosti.
Informacijska varnost se doseže z izvajanjem ustreznih nizov kontrol, vključno s politikami, procesi,
postopki, organizacijskimi strukturami ter funkcijami programske in strojne opreme. Te kontrole je
treba vzpostaviti, izvajati, spremljati, pregledovati in izboljševati, kadar je to potrebno, da se zagotovi,
da so izpolnjeni posebni varnostni in poslovni cilji organizacije. To je treba storiti v povezavi z drugimi
procesi upravljanja poslovanja.

0.2 Zakaj je informacijska varnost potrebna

Informacije in podporni procesi, sistemi in omrežja so pomembne poslovne dobrine. Opredelitev,
doseganje, vzdrževanje in izboljševanje informacijske varnosti so lahko bistvenega pomena za
ohranjanje konkurenčne prednosti, denarnega toka, dobičkonosnosti, skladnosti z zakonodajo in
poslovno podobo.
Organizacije ter njihovi informacijski sistemi in omrežja se soočajo z varnostnimi grožnjami iz širokega
spektra virov, vključno z računalniško podprtimi prevarami, vohunstvom, sabotažami, vandalizmom,
požari ali poplavami. Vzroki za poškodbe, kot so zlonamerne kode, računalniško vlamljanje in napadi
za zavrnitev storitve, so postali pogostejši, ambicioznejši ter vse bolj prefinjeni.

Informacijska varnost je pomembna tako za javni kot za zasebni poslovni sektor ter za varovanje
kritične infrastrukture. V obeh sektorjih bo informacijska varnost delovala kot dejavnik, ki omogoča na
primer doseči e-upravo ali e-poslovanje, ter preprečuje ali zmanjšuje tveganja. Povezovanje javnih in
zasebnih omrežij ter skupna raba informacijskih virov povečujeta težave pri doseganju nadzora
dostopa. Trend porazdeljenega računalništva je tudi oslabil uspešnost osrednje, specializirane
kontrole.
Mnogi informacijski sistemi niso bili zasnovani kot varni. Varovanje, ki ga je mogoče doseči s
tehničnimi sredstvi, je omejeno ter naj bi bilo podprto z ustreznim upravljanjem in postopki.
Prepoznavanje ustrezne kontrole naj se skrbno načrtuje in osredotoča na podrobnosti. Upravljanje
Informacijske varnosti najmanj zahteva sodelovanje vseh zaposlenih v organizaciji. Prav tako lahko
zahteva udeležbo delničarjev, dobaviteljev, tretjih oseb, odjemalcev ali drugih zunanjih strank.
Potrebni so lahko tudi strokovni nasveti zunanjih organizacij.

SIST ISO/IEC 27002 : 2008
0.3 Kako vzpostaviti varnostne zahteve

Bistveno je, da organizacija prepozna svoje varnostne zahteve. Obstajajo trije glavni viri varnostnih
zahtev.
1. En vir je izpeljan iz ocenjevanja tveganj organizacije ob upoštevanju celovite poslovne
organizacijske strategije in ciljev. Z oceno tveganja se prepoznajo grožnje dobrinam, ovrednotijo
se ranljivost in verjetnost pojava ter ocenijo se potencialni vplivi.
2. Drug vir so pravne, zakonske in regulativne zahteve, ki jih morajo izpolniti organizacija, njeni
poslovni partnerji, izvajalci in ponudniki storitev, ter njihovo družbeno-kulturno okolje.
3. Dodatni vir je še poseben niz načel, ciljev in poslovnih zahtev za obdelave informacij, ki jih je
organizacija razvila v podporo svojega poslovanja.

0.4 Ocenjevanje varnostnih tveganj

Varnostne zahteve se prepoznajo z metodičnim ocenjevanjem varnostnih tveganj. Izdatke za kontrole
je treba uravnotežiti glede na poslovno škodo, ki navadno izhaja iz napak pri varovanju.

Rezultati ocenjevanja tveganja bodo pomagali voditi in določiti ustrezne ukrepe vodstva in prednostne
naloge za obvladovanje informacijskih varnostnih tveganj ter za izvajanje kontrol, izbranih za
varovanje pred temi tveganji.
Ocenjevanje tveganja naj se redno ponavlja in obravnava vse spremembe, ki lahko vplivajo na
rezultate ocenjevanja tveganja.

Več informacij o ocenjevanju varnostnih tveganj je mogoče najti v točki 4.1 Ocenjevanje varnostnih
tveganj.
0.5 Izbiranje kontrol
Ko so varnostne zahteve in tveganja prepoznani in so sprejete odločitve za obravnavanje tveganj, naj
se izberejo in izvajajo ustrezne kontrole, da se tveganja zmanjšajo na sprejemljivo raven. Kontrole je
mogoče izbrati iz tega standarda ali drugih nizov ukrepov, lahko pa se zasnujejo tudi nove kontrole za
zadovoljitev posebnih potreb. Izbor varnostnih ukrepov je odvisen od organizacijskih odločitev, ki
temeljijo na kriterijih za sprejem tveganja, možnostih obravnavanja tveganja ter na splošnem pristopu
k upravljanju tveganja, ki ga uporablja organizacija, ter naj ustreza vsem ustreznim nacionalnim in
mednarodnim zakonodajam in predpisom.

Nekatere kontrole v tem standardu je mogoče obravnavati kot vodilna načela za upravljanje
informacijske varnosti in ustrezajo večini organizacij. Podrobneje so pojasnjene v nadaljevanju pod
naslovom "Izhodišče informacijske varnosti".

Več informacij o izbiranju kontrol in drugih možnostih obravnavanja tveganja je mogoče najti v točki
4.2 Obravnavanje varnostnih tveganj.

0.6 Izhodišče informacijske varnosti

Število kontrol je mogoče obravnavati kot dobro izhodišče za izvajanje informacijske varnosti. Kontrole
temeljijo na bistvenih zakonodajnih zahtevah ali pa so del splošne prakse za informacijsko varnost.

Kontrole, ki naj bi bile bistvene za organizacijo z zakonodajnega vidika, vključujejo glede na ustrezno
zakonodajo:
a) varovanje podatkov in zasebnost osebnih podatkov (glej 15.1.4),
b) zaščito organizacijskih zapisov (glej 15.1.3),
c) pravice intelektualne lastnine (glej 15.1.2).
SIST ISO/IEC 27002 : 2008
Kontrole, sprejete kot splošna praksa za informacijsko varnost, vključujejo:
a) dokument o informacijski varnostni politiki (glej 5.1.1),
b) dodelitev odgovornosti za informacijsko varnost (glej 6.1.3),
c) ozaveščenost o informacijski varnosti, izobraževanje in usposabljanje (glej 8.2.2),
d) pravilno obdelavo v aplikacijah (glej 12.2),
e) tehnično upravljanje ranljivosti (glej 12.6),
f) upravljanje neprekinjenega poslovanja (glej 14),
g) upravljanje incidentov informacijske varnosti in izboljšave (glej 13.2).

Te kontrole ustrezajo večini organizacij in večini okolij.

Naj velja opozorilo, da čeprav so vsi ukrepi v tem standardu pomembni in naj se upoštevajo, naj se
določi primernost vsake kontrole v luči specifičnih tveganj, s katerimi se organizacija sooča. Zato je
gornji pristop lahko dobro izhodišče, ampak ne nadomešča izbire kontrol na podlagi ocenjevanja
tveganja.
0.7 Ključni dejavniki uspeha
Izkušnje so pokazale, da so naslednji dejavniki pogosto ključnega pomena za uspešno izvajanje
informacijske varnosti v organizaciji:
a) informacijska varnostna politika, cilji in aktivnosti, ki odražajo poslovne cilje,
b) pristop in okvir za izvajanje, vzdrževanje, spremljanje in izboljševanje informacijske varnosti, ki je
v skladu z organizacijsko kulturo,
c) vidna podpora in zavezanost na vseh ravneh vodstva,
d) dobro razumevanje zahtev informacijske varnosti, ocenjevanja in obvladovanja tveganja,
e) uspešno trženje informacijske varnosti vsem vodjem, zaposlenim in drugim strankam za
doseganje ozaveščenosti,
f) razdeljevanje napotkov o politiki in standardih informacij
...