ISO/IEC 27002:2005

SLOVENSKI STANDARD
SIST ISO/IEC 27002:2008
01-maj-2008
,QIRUPDFLMVNDWHKQRORJLMD9DUQRVWQHWHKQLNH3UDYLODREQDãDQMDSULXSUDYOMDQMX
LQIRUPDFLMVNHYDUQRVWL2SRPED=GUXåXMH,62,(&SUHãWHYLOþHQY
,62,(&LQ,62,(&7HKQLþQLSRSUDYHN
Information technology - Security techniques - Code of practice for information security
management / Note: Combines ISO/IEC 17799 (2005-06) (renumbered to ISO/IEC
27002) and ISO/IEC 17799 Technical Corrigendum 1 (2007-07)
Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour la
gestion de la sécurité de l'information
Ta slovenski standard je istoveten z:
ICS:
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
SIST ISO/IEC 27002:2008 en
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

---------------------- Page: 1 ----------------------

INTERNATIONAL ISO/IEC
STANDARD 27002
First edition
2005-06-15


Information technology — Security
techniques — Code of practice for
information security management
Technologies de l'information — Techniques de sécurité — Code de
bonne pratique pour la gestion de la sécurité de l'information




Reference number
ISO/IEC 27002:2005(E)
©
ISO/IEC 2005

---------------------- Page: 2 ----------------------

ISO/IEC 27002:2005(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


COPYRIGHT PROTECTED DOCUMENT


©  ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO/IEC 2005 – All rights reserved

---------------------- Page: 3 ----------------------

ISO/IEC 27002:2005(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27002 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This first edition of ISO/IEC 27002 comprises ISO/IEC 17799:2005 and ISO/IEC 17799:2005/Cor.1:2007. Its
technical content is identical to that of ISO/IEC 17799:2005. ISO/IEC 17799:2005/Cor.1:2007 changes the
reference number of the standard from 17799 to 27002. ISO/IEC 17799:2005 and
ISO/IEC 17799:2005/Cor.1:2007 are provisionally retained until publication of the second edition of
ISO/IEC 27002.


© ISO/IEC 2005 – All rights reserved iii

---------------------- Page: 4 ----------------------

INTERNATIONAL STANDARD ISO/IEC 17799:2005
TECHNICAL CORRIGENDUM 1
Published 2007-07-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE


Information technology — Security techniques — Code of
practice for information security management
TECHNICAL CORRIGENDUM 1
Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour la gestion de la
sécurité de l'information
RECTIFICATIF TECHNIQUE 1
Technical Corrigendum 1 to ISO/IEC 17799:2005 was prepared by Joint Technical Committee ISO/IEC JTC 1,
Information technology, Subcommittee SC 27, IT Security techniques.

Throughout the document:
Replace “17799” with “27002”.

ICS 35.040 Ref. No. ISO/IEC 17799:2005/Cor.1:2007(E)
©  ISO/IEC 2007 – All rights reserved
Published in Switzerland

---------------------- Page: 5 ----------------------

INTERNATIONAL ISO/IEC
STANDARD 17799
Second edition
2005-06-15


Information technology — Security
techniques — Code of practice for
information security management
Technologies de l'information — Techniques de sécurité — Code de
pratique pour la gestion de sécurité d'information




Reference number
ISO/IEC 17799:2005(E)
©
ISO/IEC 2005

---------------------- Page: 6 ----------------------

ISO/IEC 17799:2005(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


©  ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO/IEC 2005 – All rights reserved

---------------------- Page: 7 ----------------------

ISO/IEC 17799:2005(E)
Contents                                                Page

FOREWORD. VII
0 INTRODUCTION . VIII
0.1 WHAT IS INFORMATION SECURITY?.VIII

0.2 WHY INFORMATION SECURITY IS NEEDED? .VIII
0.3 HOW TO ESTABLISH SECURITY REQUIREMENTS .IX
0.4 ASSESSING SECURITY RISKS . IX
0.5 SELECTING CONTROLS. IX
0.6 INFORMATION SECURITY STARTING POINT. IX
0.7 CRITICAL SUCCESS FACTORS . X
0.8 DEVELOPING YOUR OWN GUIDELINES . XI
1 SCOPE. 1
2 TERMS AND DEFINITIONS . 1
3 STRUCTURE OF THIS STANDARD. 4
3.1 CLAUSES . 4
3.2 MAIN SECURITY CATEGORIES. 4
4 RISK ASSESSMENT AND TREATMENT . 5
4.1 ASSESSING SECURITY RISKS . 5
4.2 TREATING SECURITY RISKS. 5
5 SECURITY POLICY . 7
5.1 INFORMATION SECURITY POLICY. 7
5.1.1 Information security policy document . 7
5.1.2 Review of the information security policy. 8
6 ORGANIZATION OF INFORMATION SECURITY. 9
6.1 INTERNAL ORGANIZATION. 9
6.1.1 Management commitment to information security. 9
6.1.2 Information security co-ordination. 10
6.1.3 Allocation of information security responsibilities. 10
6.1.4 Authorization process for information processing facilities. 11
6.1.5 Confidentiality agreements. 11
6.1.6 Contact with authorities . 12
6.1.7 Contact with special interest groups . 12
6.1.8 Independent review of information security . 13
6.2 EXTERNAL PARTIES . 14
6.2.1 Identification of risks related to external parties. 14
6.2.2 Addressing security when dealing with customers . 15
6.2.3 Addressing security in third party agreements . 16
7 ASSET MANAGEMENT. 19
7.1 RESPONSIBILITY FOR ASSETS. 19
7.1.1 Inventory of assets . 19
7.1.2 Ownership of assets . 20
7.1.3 Acceptable use of assets. 20
7.2 INFORMATION CLASSIFICATION. 21
7.2.1 Classification guidelines. 21
7.2.2 Information labeling and handling. 21
8 HUMAN RESOURCES SECURITY . 23
8.1 PRIOR TO EMPLOYMENT . 23
8.1.1 Roles and responsibilities . 23
© ISO/IEC 2005 – All rights reserved iii

---------------------- Page: 8 ----------------------

ISO/IEC 17799:2005(E)
8.1.2 Screening . 23

8.1.3 Terms and conditions of employment . 24
8.2 DURING EMPLOYMENT . 25
8.2.1 Management responsibilities . 25
8.2.2 Information security awareness, education, and training . 26
8.2.3 Disciplinary process . 26
8.3 TERMINATION OR CHANGE OF EMPLOYMENT. 27
8.3.1 Termination responsibilities . 27
8.3.2 Return of assets. 27
8.3.3 Removal of access rights . 28
9 PHYSICAL AND ENVIRONMENTAL SECURITY . 29
9.1 SECURE AREAS . 29
9.1.1 Physical security perimeter . 29
9.1.2 Physical entry controls . 30
9.1.3 Securing offices, rooms, and facilities . 30
9.1.4 Protecting against external and environmental threats. 31
9.1.5 Working in secure areas . 31
9.1.6 Public access, delivery, and loading areas. 32
9.2 EQUIPMENT SECURITY. 32
9.2.1 Equipment siting and protection. 32
9.2.2 Supporting utilities . 33
9.2.3 Cabling security. 34
9.2.4 Equipment maintenance. 34
9.2.5 Security of equipment off-premises. 35
9.2.6 Secure disposal or re-use of equipment. 35
9.2.7 Removal of property . 36
10 COMMUNICATIONS AND OPERATIONS MANAGEMENT. 37
10.1 OPERATIONAL PROCEDURES AND RESPONSIBILITIES . 37
10.1.1 Documented operating procedures. 37
10.1.2 Change management . 37
10.1.3 Segregation of duties . 38
10.1.4 Separation of development, test, and operational facilities. 38
10.2 THIRD PARTY SERVICE DELIVERY MANAGEMENT . 39
10.2.1 Service delivery. 39
10.2.2 Monitoring and review of third party services. 40
10.2.3 Managing changes to third party services. 40
10.3 SYSTEM PLANNING AND ACCEPTANCE. 41
10.3.1 Capacity management . 41
10.3.2 System acceptance . 41
10.4 PROTECTION AGAINST MALICIOUS AND MOBILE CODE. 42
10.4.1 Controls against malicious code. 42
10.4.2 Controls against mobile code . 43
10.5 BACK-UP . 44
10.5.1 Information back-up . 44
10.6 NETWORK SECURITY MANAGEMENT. 45
10.6.1 Network controls. 45
10.6.2 Security of network services . 46
10.7 MEDIA HANDLING . 46
10.7.1 Management of removable media. 46
10.7.2 Disposal of media . 47
10.7.3 Information handling procedures . 47
10.7.4 Security of system documentation. 48
10.8 EXCHANGE OF INFORMATION . 48
10.8.1 Information exchange policies and procedures. 49
10.8.2 Exchange agreements . 50
10.8.3 Physical media in transit . 51
10.8.4 Electronic messaging. 52
10.8.5 Business information systems . 52
iv © ISO/IEC 2005 – All rights reserved

---------------------- Page: 9 ----------------------

ISO/IEC 17799:2005(E)
10.9 ELECTRONIC COMMERCE SERVICES . 53

10.9.1 Electronic commerce . 53
10.9.2 On-Line Transactions . 54
10.9.3 Publicly available information . 55
10.10 MONITORING. 55
10.10.1 Audit logging . 55
10.10.2 Monitoring system use . 56
10.10.3 Protection of log information . 57
10.10.4 Administrator and operator logs . 58
10.10.5 Fault logging . 58
10.10.6 Clock synchronization . 58
11 ACCESS CONTROL . 60
11.1 BUSINESS REQUIREMENT FOR ACCESS CONTROL . 60
11.1.1 Access control policy . 60
11.2 USER ACCESS MANAGEMENT. 61
11.2.1 User registration. 61
11.2.2 Privilege management . 62
11.2.3 User password management. 62
11.2.4 Review of user access rights . 63
11.3 USER RESPONSIBILITIES. 63
11.3.1 Password use . 64
11.3.2 Unattended user equipment . 64
11.3.3 Clear desk and clear screen policy. 65
11.4 NETWORK ACCESS CONTROL. 65
11.4.1 Policy on use of network services . 66
11.4.2 User authentication for external connections. 66
11.4.3 Equipment identification in networks . 67
11.4.4 Remote diagnostic and configuration port protection . 67
11.4.5 Segregation in networks . 68
11.4.6 Network connection control. 68
11.4.7 Network routing control . 69
11.5 OPERATING SYSTEM ACCESS CONTROL. 69
11.5.1 Secure log-on procedures . 69
11.5.2 User identification and authentication . 70
11.5.3 Password management system. 71
11.5.4 Use of system utilities . 72
11.5.5 Session time-out. 72
11.5.6 Limitation of connection time . 72
11.6 APPLICATION AND INFORMATION ACCESS CONTROL . 73
11.6.1 Information access restriction . 73
11.6.2 Sensitive system isolation . 74
11.7 MOBILE COMPUTING AND TELEWORKING. 74
11.7.1 Mobile computing and communications . 74
11.7.2 Teleworking . 75
12 INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE. 77
12.1 SECURITY REQUIREMENTS OF INFORMATION SYSTEMS.
...

NORME ISO/CEI
INTERNATIONALE 27002
Première édition
2005-06-15


Technologies de l'information —
Techniques de sécurité — Code de bonne
pratique pour la gestion de la sécurité de
l'information
Information technology — Security techniques — Code of practice for
information security management




Numéro de référence
ISO/CEI 27002:2005(F)
©
ISO/CEI 2005

---------------------- Page: 1 ----------------------
ISO/CEI 27002:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.


DOCUMENT PROTÉGÉ PAR COPYRIGHT


©  ISO/CEI 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse

ii © ISO/CEI 2005 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/CEI 27002:2005(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27002 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
La première édition de l’ISO/CEI 27002 comprend l’ISO/CEI 17799:2005 et l’ISO/CEI 17799:2005/Cor.1:2007.
Son contenu technique est identique à celui de l’ISO/CEI 17799:2005. L’ISO/CEI 17799:2005/Cor.1:2007
modifie le numéro de référence de la norme de 17799 en 27002. L’ISO/CEI 17799:2005 et
l’ISO/CEI 17799:2005/Cor.1:2007 sont provisoirement retenus jusqu’à la publication de la deuxième édition de
l’ISO/CEI 27002.


© ISO/CEI 2005 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
NORME INTERNATIONALE ISO/CEI 17799:2005
RECTIFICATIF TECHNIQUE 1
Publié 2007-07-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE


Technologies de l'information — Techniques de sécurité —
Code de bonne pratique pour la gestion de la sécurité de
l'information
RECTIFICATIF TECHNIQUE 1
Information technology — Security techniques — Code of practice for information security management
TECHNICAL CORRIGENDUM 1
Le Rectificatif technique 1 à l'ISO/CEI 17799:2005 a été élaboré par le comité technique mixte ISO/CEI JTC 1,
Technologies de l'information, sous-comité SC 27, Techniques de sécurité des technologies de l’information.

Dans tout le document:
Remplacer «17799» par «27002».

o
ICS 35.040 Réf. n ISO/CEI 17799:2005/Cor.1:2007(F)
© ISO/CEI 2007 – Tous droits réservés
Publié en Suisse

---------------------- Page: 4 ----------------------
NORME ISO/CEI
INTERNATIONALE 17799
Deuxième édition
2005-06-15


Technologies de l'information —
Techniques de sécurité — Code de bonne
pratique pour la gestion de la sécurité de
l'information
Information technology — Security techniques — Code of practice for
information security management




Numéro de référence
ISO/CEI 17799:2005(F)
©
ISO/CEI 2005

---------------------- Page: 5 ----------------------
ISO/CEI 17799:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.


©  ISO/CEI 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse

ii © ISO/CEI 2005 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO/CEI 17799:2005(F)
Sommaire Page
Avant-propos. vii
0 Introduction . viii
1 Domaine d'application. 1
2 Termes et définitions. 1
3 Structure de la présente Norme internationale .3
3.1 Articles. 3
3.2 Principales rubriques. 4
4 Appréciation et traitement du risque. 4
4.1 Appréciation du risque lié à la sécurité. 4
4.2 Traitement du risque lié à la sécurité . 5
5 Politique de sécurité. 6
5.1 Politique de sécurité de l’information. 6
5.1.1 Document de politique de sécurité de l’information. 6
5.1.2 Réexamen de la politique de sécurité de l’information . 7
6 Organisation de la sécurité de l’information . 8
6.1 Organisation interne. 8
6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information . 8
6.1.2 Coordination de la sécurité de l’information . 9
6.1.3 Attribution des responsabilités en matière de sécurité de l’information . 9
6.1.4 Système d’autorisation concernant les moyens de traitement de l’information . 10
6.1.5 Engagements de confidentialité. 10
6.1.6 Relations avec les autorités . 11
6.1.7 Relations avec des groupes de spécialistes . 12
6.1.8 Revue indépendante de la sécurité de l’information . 12
6.2 Tiers. 13
6.2.1 Identification des risques provenant des tiers . 13
6.2.2 La sécurité et les clients . 15
6.2.3 La sécurité dans les accords conclus avec des tiers. 16
7 Gestion des biens. 18
7.1 Responsabilités relatives aux biens. 18
7.1.1 Inventaire des biens . 19
7.1.2 Propriété des biens. 20
7.1.3 Utilisation correcte des biens. 20
7.2 Classification des informations . 21
7.2.1 Lignes directrices pour la classification . 21
7.2.2 Marquage et manipulation de l’information . 22
8 Sécurité liée aux ressources humaines . 22
8.1 Avant le recrutement . 22
8.1.1 Rôles et responsabilités. 22
8.1.2 Sélection. 23
8.1.3 Conditions d’embauche . 24
8.2 Pendant la durée du contrat . 25
8.2.1 Responsabilités de la direction. 25
8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information. 26
8.2.3 Processus disciplinaire. 26
8.3 Fin ou modification de contrat . 27
8.3.1 Responsabilités en fin de contrat . 27
8.3.2 Restitution des biens. 27
© ISO/CEI 2005 – Tous droits réservés iii

---------------------- Page: 7 ----------------------
ISO/CEI 17799:2005(F)
8.3.3 Retrait des droits d’accès . 28
9 Sécurité physique et environnementale . 29
9.1 Zones sécurisées. 29
9.1.1 Périmètre de sécurité physique. 29
9.1.2 Contrôles physiques des accès . 30
9.1.3 Sécurisation des bureaux, des salles et des équipements . 30
9.1.4 Protection contre les menaces extérieures et environnementales . 31
9.1.5 Travail dans les zones sécurisées . 31
9.1.6 Zones d’accès public, de livraison et de chargement. 32
9.2 Sécurité du matériel. 32
9.2.1 Choix de l’emplacement et protection du matériel.33
9.2.2 Services généraux. 33
9.2.3 Sécurité du câblage . 34
9.2.4 Maintenance du matériel . 35
9.2.5 Sécurité du matériel hors des locaux . 35
9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel . 36
9.2.7 Sortie d’un bien . 36
10 Gestion de l’exploitation et des télécommunications. 37
10.1 Procédures et responsabilités liées à l’exploitation .37
10.1.1 Procédures d’exploitation documentées. 37
10.1.2 Gestion des modifications . 38
10.1.3 Séparation des tâches . 38
10.1.4 Séparation des équipements de développement, de test et d’exploitation. 39
10.2 Gestion de la prestation de service par un tiers. 40
10.2.1 Prestation de service . 40
10.2.2 Surveillance et réexamen des services tiers. 40
10.2.3 Gestion des modifications dans les services tiers . 41
10.3 Planification et acceptation du système. 42
10.3.1 Dimensionnement . 42
10.3.2 Acceptation du système. 42
10.4 Protection contre les codes malveillant et mobile .43
10.4.1 Mesures contre les codes malveillants . 43
10.4.2 Mesures contre le code mobile. 44
10.5 Sauvegarde. 45
10.5.1 Sauvegarde des informations. 45
10.6 Gestion de la sécurité des réseaux. 46
10.6.1 Mesures sur les réseaux . 46
10.6.2 Sécurité des services réseau. 47
10.7 Manipulation des supports . 48
10.7.1 Gestion des supports amovibles. 48
10.7.2 Mise au rebut des supports . 48
10.7.3 Procédures de manipulation des informations. 49
10.7.4 Sécurité de la documentation système . 50
10.8 Échange des informations . 50
10.8.1 Politiques et procédures d’échange des informations . 50
10.8.2 Accords d’échange. 52
10.8.3 Supports physiques en transit . 53
10.8.4 Messagerie électronique. 54
10.8.5 Systèmes d’information d’entreprise. 54
10.9 Services de commerce électronique. 55
10.9.1 Commerce électronique. 55
10.9.2 Transactions en ligne . 56
10.9.3 Informations à disposition du public . 57
10.10 Surveillance. 58
10.10.1 Rapport d’audit. 58
10.10.2 Surveillance de l’exploitation du système. 59
10.10.3 Protection des informations journalisées . 60
10.10.4 Journal administrateur et journal des opérations . 61
10.10.5 Rapports de défaut . 61
iv © ISO/CEI 2005 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO/CEI 17799:2005(F)
10.10.6 Synchronisation des horloges . 62
11 Contrôle d’accès. 62
11.1 Exigences métier relatives au contrôle d’accès. 62
11.1.1 Politique de contrôle d’accès . 62
11.2 Gestion de l’accès utilisateur . 63
11.2.1 Enregistrement des utilisateurs . 64
11.2.2 Gestion des privilèges. 65
11.2.3 Gestion du mot de passe utilisateur. 65
11.2.4 Réexamen des droits d’accès utilisateurs . 66
11.3 Responsabilités utilisateurs . 67
11.3.1 Utilisation du mot de passe . 67
11.3.2 Matériel utilisateur laissé sans surveillance. 68
11.3.3 Politique du bureau propre et de l’écran vide . 68
11.4 Contrôle d’accès au réseau . 69
11.4.1 Politique relative à l’utilisation des services en réseau . 69
11.4.2 Authentification de l’utilisateur pour les connexions externes. 70
11.4.3 Identification des matériels en réseau. 71
11.4.4 Protection des ports de diagnostic et de configuration à distance . 71
11.4.5 Cloisonnement des réseaux . 71
11.4.6 Mesure relative à la connexion réseau. 72
11.4.7 Contrôle du routage réseau. 73
11.5 Contrôle d’accès au système d’exploitation. 73
11.5.1 Ouverture de sessions sécurisées . 73
11.5.2 Identification et authentification de l’utilisateur. 74
11.5.3 Système de gestion des mots de passe. 75
11.5.4 Emploi des utilitaires système . 76
11.5.5 Déconnexion automatique des sessions inactives. 77
11.5.6 Limitation du temps de connexion . 77
11.6 Contrôle d’accès aux applications et à l’information . 77
11.6.1 Restriction d’accès à l’information. 78
11.6.2 Isolement des systèmes sensibles. 78
11.7 Informatique mobile et télétravail . 79
11.7.1 Informatique mobile et télécommunications . 79
11.7.2 Télétravail. 80
12 Acquisition, développement et maintenance des systèmes d’information. 81
12.1 Exigences de sécurité applicables aux systèmes d’information . 81
12.1.1 Analyse et spécification des exigences de sécurité.82
12.2 Bon fonctionnement des applications. 82
12.2.1 Validation des données d’entrée. 83
12.2.2 Mesure relative au traitement interne. 83
12.2.3 Intégrité des messages . 84
12.2.4 Validation des données de sortie. 85
12.3 Mesures cryptographiques. 85
12.3.1 Politique d’utilisation des mesures cryptographiques. 85
12.3.2 Gestion des clés.
...

SLOVENSKI SIST ISO/IEC 27002

STANDARD maj 2008













Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja pri

upravljanju informacijske varnosti / Opomba: Združuje ISO/IEC 17799 (2005-
06) (preštevilčen v ISO/IEC 27002) in ISO/IEC 17799 Tehnični popravek 1
(2007-07)

Information technology – Security techniques – Code of practice for information
security management / Note: Combines ISO/IEC 17799 (2005-06) (renumbered
to ISO/IEC 27002) and ISO/IEC 17799 Technical Corrigendum 1 (2007-07)

Technologies de l'information – Techniques de sécurité – Code de bonne
pratique pour la gestion de la sécurité de l'information


















Referenčna oznaka
ICS 35.040 SIST ISO/IEC 27002:2008 (sl)



Nadaljevanje na straneh od 2 do 117



© 2013-05 Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

---------------------- Page: 1 ----------------------

SIST ISO/IEC 27002 : 2008
NACIONALNI UVOD
Standard SIST ISO/IEC 27002 (sl), Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja
pri upravljanju informacijske varnosti, 2008, ima status slovenskega standarda in je istoveten
mednarodnemu standardu ISO/IEC 27002 (en), Information technology – Security techniques – Code
of practice for information security management, prva izdaja, 2005-06-15.

NACIONALNI PREDGOVOR

Mednarodni standard ISO/IEC 27002:2005 je pripravil pododbor združenega tehničnega odbora
Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC
1/SC 27 Varnostne tehnike v informacijski tehnologiji.

Slovenski standard SIST ISO/IEC 27002:2008 je prevod mednarodnega standarda ISO/IEC
27002:2005. Slovenski standard SIST ISO/IEC 27002:2008 je pripravil tehnični odbor SIST/TC ITC
Informacijska tehnologija. V primeru spora glede besedila slovenskega prevoda je odločilen izvirni
mednarodni standard v angleškem jeziku.

Odločitev za izdajo tega standarda je dne 27. marca 2008 sprejel SIST/TC ITC Informacijska
tehnologija.

OSNOVA ZA IZDAJO STANDARDA

– privzem standarda ISO/IEC 27002:2005

OPOMBE

– Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27002:2008 to pomeni “slovenski standard”.

– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

– Definicije pojmov so povzete po naslednjih mednarodnih standardih:
ISO/IEC 13335-1, Information technology – Security techniques – Management of information
and communications technology security – Part 1: Concepts and models for information and
communications technology security management
ISO/IEC TR 18044, Information technology – Security techniques – Information security incident
management
ISO/IEC Guide 2, Standardization and related activities – General vocabulary
ISO/IEC Guide 73, Risk management – Vocabulary

– V besedilu SIST ISO/IEC 27002 so v točkah 2.1, 2.3, 2.6, 2.7, 2.9, 2.10, 2.11, 2.12, 2.13, 2.14,
2.15, 2.16, 2.17, 4.1, 5.1.1, 6.1.1, 6.1.8, 7.1.1, 10.6.1, 12.1.1, 12.3.1, 12.3.2, 12.4.3, 12.5.4,
13.1.1 in 15.1.3 navedeni mednarodni standardi ISO/IEC 13335-1, ISO/IEC 13335-3, ISO/IEC TR
18044, ISO 19011, ISO/IEC 18028, ISO/IEC 11770, ISO/IEC 9796, ISO/IEC 14888, ISO 10007,
ISO/IEC 12207, ISO/IEC 15408, ISO 15489-1, ISO/IEC Guide 2, ISO/IEC Guide 73 in IEEE
P1363. Pri tem je vedno mišljena njihova zadnja izdaja.

– Standard ISO/IEC 17799 je bil leta 2007 preštevilčen v ISO/IEC 27002.

2

---------------------- Page: 2 ----------------------

SIST ISO/IEC 27002 : 2008
VSEBINA Stran
Predgovor k standardu ISO/IEC 27002:2005.8
Predgovor k standardu ISO/IEC 17799:2005.9
0 Uvod .10
0.1 Kaj je informacijska varnost.10
0.2 Zakaj je informacijska varnost potrebna.10
0.3 Kako vzpostaviti varnostne zahteve.10
0.4 Ocenjevanje varnostnih tveganj .11
0.5 Izbiranje kontrol .11
0.6 Izhodišče informacijske varnosti .11
0.7 Ključni dejavniki uspeha .12
0.8 Razvijanje lastnih smernic.12
1 Področje uporabe .13
2 Izrazi in definicije .13
3 Struktura tega standarda.15
3.1 Točke.15
3.2 Glavne varnostne kategorije.15
4 Ocenjevanje in obravnavanje tveganja .16
4.1 Ocenjevanje varnostnih tveganj .16
4.2 Obravnavanje varnostnih tveganj.16
5 Varnostna politika.17
5.1 Informacijska varnostna politika .17
5.1.1 Dokument o informacijski varnostni politiki .17
5.1.2 Pregled informacijske varnostne politike.18
6 Organiziranje informacijske varnosti .19
6.1 Notranja organizacija.19
6.1.1 Zavezanost vodstva k informacijski varnosti.19
6.1.2 Usklajevanje informacijske varnosti .20
6.1.3 Dodelitev odgovornosti na področju informacijske varnosti.20
6.1.4 Proces odobritve naprav za obdelavo informacij .21
6.1.5 Dogovori o zaupnosti.21
6.1.6 Stiki s pristojnimi organi.22
6.1.7 Stik s specifičnimi interesnimi skupinami .22
6.1.8 Neodvisni pregled informacijske varnosti.23
6.2 Zunanje stranke.23
6.2.1 Prepoznavanje tveganj, povezanih z zunanjimi strankami .23
6.2.2 Obravnavanje varnosti pri poslovanju s strankami .25
6.2.3 Obravnavanje varnosti v dogovorih s tretjimi strankami .26
7 Upravljanje dobrin.28
7.1 Odgovornost za dobrine.28
7.1.1 Popis dobrin.28
3

---------------------- Page: 3 ----------------------

SIST ISO/IEC 27002 : 2008
7.1.2 Lastništvo nad dobrinami .29
7.1.3 Sprejemljiva uporaba dobrin.29
7.2 Razvrstitev informacij .30
7.2.1 Smernice za razvrščanje.30
7.2.2 Označevanje informacij in ravnanje z njimi.30
8 Varnost človeških virov.31
8.1 Pred zaposlovanjem.31
8.1.1 Vloge in odgovornosti.31
8.1.2 Preverjanje .32
8.1.3 Določila in pogoji za zaposlitev .32
8.2 Med zaposlitvijo.33
8.2.1 Odgovornosti vodstva.33
8.2.2 Ozaveščenost, izobraževanje in usposabljanje o informacijski varnosti .34
8.2.3 Disciplinski proces.34
8.3 Prekinitev ali sprememba zaposlitve.35
8.3.1 Odgovornosti ob prenehanju zaposlitve.35
8.3.2 Vračilo dobrin.36
8.3.3 Preklic pravic dostopa .36
9 Fizična in okoljska varnost .37
9.1 Varovana območja .37
9.1.1 Varovanje fizičnih meja območja.37
9.1.2 Kontrole fizičnega vstopa .38
9.1.3 Varovanje pisarn, sob in naprav.38
9.1.4 Zaščita pred zunanjimi in okoljskimi grožnjami .38
9.1.5 Delo na varovanih območjih.39
9.1.6 Javni dostop, dostavne in nakladalne površine .39
9.2 Varnost opreme.40
9.2.1 Namestitev in zaščita opreme .40
9.2.2 Podporna oskrba .40
9.2.3 Varnost ožičenja.41
9.2.4 Vzdrževanje opreme .42
9.2.5 Varnost opreme zunaj prostorov organizacije.42
9.2.6 Varna odstranitev ali ponovna uporaba opreme .43
9.2.7 Odstranitev premoženja .43
10 Upravljanje komunikacij in obratovanja.43
10.1 Operativni postopki in odgovornosti .43
10.1.1 Dokumentirani postopki delovanja .44
10.1.2 Upravljanje sprememb .44
10.1.3 Razmejitev dolžnosti .45
10.1.4 Ločevanje razvojnih, testnih in obratovalnih naprav .45
10.2 Upravljanje storitev tretjih strank .46
10.2.1 Izvedba storitev .46
4

---------------------- Page: 4 ----------------------

SIST ISO/IEC 27002 : 2008
10.2.2 Spremljanje in pregledovanje storitev tretjih strank .46
10.2.3 Upravljanje sprememb storitev tretjih strank.47
10.3 Načrtovanje in prevzem sistema .48
10.3.1 Upravljanje zmogljivosti.48
10.3.2 Prevzem sistema.48
10.4 Zaščita pred zlonamerno in mobilno kodo .49
10.4.1 Kontrole za zaščito pred zlonamerno kodo.49
10.4.2 Kontrole nad mobilno kodo.50
10.5 Varnostno kopiranje .51
10.5.1 Varnostno kopiranje informacij.51
10.6 Upravljanje varovanja omrežij .52
10.6.1 Omrežne kontrole.52
10.6.2 Varovanje omrežnih storitev.52
10.7 Ravnanje z nosilci podatkov/informacij .53
10.7.1 Upravljanje izmenljivih nosilcev podatkov/informacij .53
10.7.2 Odstranjevanje nosilcev podatkov/informacij.54
10.7.3 Postopki ravnanja z informacijami.54
10.7.4 Varovanje sistemske dokumentacije.55
10.8 Izmenjava informacij.55
10.8.1 Politike in postopki izmenjave informacij.55
10.8.2 Dogovori o izmenjavi .57
10.8.3 Fizični nosilci podatkov/informacij med prenašanjem.57
10.8.4 Elektronsko sporočanje.58
10.8.5 Poslovni informacijski sistemi.58
10.9 Storitve elektronskega poslovanja .59
10.9.1 Elektronsko poslovanje .59
10.9.2 Sprotne transakcije.60
10.9.3 Javno dostopne informacije.61
10.10 Spremljanje.62
10.10.1 Beleženje dogodkov za zagotavljanje revizijske sledi.62
10.10.2 Spremljanje uporabe sistema.62
10.10.3 Zaščita zabeleženih informacij .64
10.10.4 Beleženje aktivnosti administratorjev in operaterjev.64
10.10.5 Beleženje okvar.64
10.10.6 Uskladitev ur.65
11 Nadzor dostopa .65
11.1 Poslovne zahteve za nadzor dostopa .65
11.1.1 Politika nadzora dostopa .65
11.2 Upravljanje uporabniškega dostopa.67
11.2.1 Registracija uporabnika.67
11.2.2 Upravljanje posebnih dostopnih pravic .68
11.2.3 Upravljanje uporabniških gesel .68
5

---------------------- Page: 5 ----------------------

SIST ISO/IEC 27002 : 2008
11.2.4 Pregled uporabniških pravic dostopa.69
11.3 Odgovornosti uporabnikov .69
11.3.1 Uporaba gesel .69
11.3.2 Nenadzorovana uporabniška oprema.70
11.3.3 Politiki čiste mize in praznega zaslona.70
11.4 Nadzor dostopa do omrežja .71
11.4.1 Politika uporabe omrežnih storitev .71
11.4.2 Preverjanje verodostojnosti uporabnikov oddaljenih povezav .72
11.4.3 Istovetnost opreme v omrežjih .72
11.4.4 Zaščita vrat za oddaljeno diagnosticiranje in konfiguriranje .73
11.4.5 Ločevanje v omrežjih.73
11.4.6 Nadzor omrežne povezave .74
11.4.7 Nadzor usmerjanja v omrežjih.74
11.5 Nadzor dostopa do operacijskih sistemov .75
11.5.1 Varni postopki prijave .75
11.5.2 Preverjanje istovetnosti in verodostojnosti uporabnika .76
11.5.3 Sistem upravljanja gesel .76
11.5.4 Uporaba sistemskih pripomočkov .77
11.5.5 Prekinitev seje .78
11.5.6 Omejitev časa povezave .78
11.6 Nadzor dostopa do aplikacij in informacij.78
11.6.1 Omejitev dostopa do informacij.79
11.6.2 Izolacija občutljivih sistemov .79
11.7 Mobilno računalništvo in delo na daljavo .79
11.7.1 Mobilno računalništvo in komunikacije.80
11.7.2 Delo na daljavo.81
12 Pridobivanje, razvoj in vzdrževanje informacijskih sistemov .82
12.1 Varnostne zahteve informacijskih sistemov .82
12.1.1 Analiza in specifikacije varnostnih zahtev.82
12.2 Pravilna obdelava v aplikacijah .83
12.2.1 Potrjevanje vhodnih podatkov .83
12.2.2 Nadzor notranje obdelave .83
12.2.3 Celovitost sporočil .84
12.2.4 Potrjevanje izhodnih podatkov .85
12.3 Kriptografske kontrole .85
12.3.1 Politika uporabe kriptografskih kontrol .85
12.3.2 Upravljanje ključev .86
12.4 Varnost sistemskih datotek .87
12.4.1 Nadzor operativne programske opreme .87
12.4.2 Zaščita sistemskih testnih podatkov.88
12.4.3 Nadzor dostopa do programske izvorne kode .89
12.5 Varnost v procesih razvoja in podpore.90
6

---------------------- Page: 6 ----------------------

SIST ISO/IEC 27002 : 2008
12.5.1 Postopki nadzora sprememb .90
12.5.2 Tehnični pregled aplikacij po spremembah operacijskih sistemov .91
12.5.3 Omejitve pri spremembah programskih paketov .91
12.5.4 Uhajanje informacij.91
12.5.5 Zunanje izvajanje razvoja programske opreme .92
12.6 Tehnično upravljanje ranljivosti .92
12.6.1 Nadzor tehničnih ranljivosti .92
13 Upravljanje informacijskih varnostnih incidentov .94
13.1 Poročanje o informacijskih varnostnih dogodkih in pomanjkljivostih .94
13.1.1 Poročanje o informacijskih varnostnih dogodkih.94
13.1.2 Poročanje o varnostnih pomanjkljivostih.95
13.2 Upravljanje informacijskih varnostnih incidentov in izboljšave.95
13.2.1 Odgovornosti in postopki.96
13.2.2 Učenje iz informacijskih varnostnih incidentov.97
13.2.3 Zbiranje dokazov .97
14 Upravljanje neprekinjenega poslovanja .98
14.1 Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja .98
14.1.1 Vključevanje informacijske varnosti v proces upravljanja neprekinjenega poslovanja.98
14.1.2 Neprekinjeno poslovanje in ocenjevanje tveganja.
...