SIST ISO/IEC 27003:2018

SLOVENSKI STANDARD
01-november-2018
1DGRPHãþD
SIST ISO/IEC 27003:2011
Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske
varnosti - Navodilo
Information technology -- Security techniques -- Information security management
systems -- Guidance
Technologies de l'information -- Techniques de sécurité --Systèmes de management de
la sécurité de l'information -- Lignes directrices
Ta slovenski standard je istoveten z: ISO/IEC 27003:2017
ICS:
03.100.70 Sistemi vodenja Management systems
35.030 Informacijska varnost IT Security
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO/IEC
STANDARD 27003
Second edition
2017-03
Information technology — Security
techniques — Information security
management systems — Guidance
Technologies de l’information — Techniques de sécurité --Systèmes de
management de la sécurité de l’information — Lignes directrices
Reference number
©
ISO/IEC 2017
© ISO/IEC 2017, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2017 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 1
4.1 Understanding the organization and its context . 1
4.2 Understanding the needs and expectations of interested parties . 3
4.3 Determining the scope of the information security management system . 4
4.4 Information security management system . 6
5 Leadership . 6
5.1 Leadership and commitment . 6
5.2 P olicy . 8
5.3 Organizational roles, responsibilities and authorities. 9
6 Planning .10
6.1 Actions to address risks and opportunities .10
6.1.1 General.10
6.1.2 Information security risk assessment .12
6.1.3 Information security risk treatment .15
6.2 Information security objectives and planning to achieve them .18
7 Support .21
7.1 Resources .21
7.2 Competence .22
7.3 Awareness .23
7.4 Communication .24
7.5 Documented information .25
7.5.1 General.25
7.5.2 Creating and updating .27
7.5.3 Control of documented information .28
8 Operation .29
8.1 Operational planning and control .29
8.2 Information security risk assessment.31
8.3 Information security risk treatment .31
9 Performance evaluation .32
9.1 Monit oring, measurement, analysis and evaluation .32
9.2 Internal audit .33
9.3 Management review .36
10 Improvement .37
10.1 Nonconformity and corrective action .37
10.2 Continual improvement .40
Annex A (informative) Policy framework .42
Bibliography .45
© ISO/IEC 2017 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following
URL: w w w . i s o .org/ iso/ foreword .html.
This document was prepared by ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security
techniques.
This second edition of ISO/IEC 27003 cancels and replaces the first edition (ISO/IEC 27003:2010), of
which it constitutes a minor revision.
The main changes compared to the previous edition are as follows:
— the scope and title have been changed to cover explanation of, and guidance on the requirements of,
ISO/IEC 27001:2013 rather than the previous edition (ISO/IEC 27001:2005);
— the structure is now aligned to the structure of ISO/IEC 27001:2013 to make it easier for the user to
use it together with ISO/IEC 27001:2013;
— the previous edition had a project approach with a sequence of activities. This edition instead
provides guidance on the requirements regardless of the order in which they are implemented.
iv © ISO/IEC 2017 – All rights reserved

Introduction
This document provides guidance on the requirements for an information security management system
(ISMS) as specified in ISO/IEC 27001 and provides recommendations (‘should’), possibilities (‘can’)
and permissions (‘may’) in relation to them. It is not the intention of this document to provide general
guidance on all aspects of information security.
Clauses 4 to 10 of this document mirror the structure of ISO/IEC 27001:2013.
This document does not add any new requirements for an ISMS and its related terms and definitions.
Organizations should refer to ISO/IEC 27001 and ISO/IEC 27000 for requirements and definitions.
Organizations implementing an ISMS are under no obligation to observe the guidance in this document.
An ISMS emphasizes the importance of the following phases:
— understanding the organization’s needs and the necessity for establishing information security
policy and information security objectives;
— assessing the organization’s risks related to information security;
— implementing and operating information security processes, controls and other measures to
treat risks;
— monitoring and reviewing the performance and effectiveness of the ISMS; and
— practising continual improvement.
An ISMS, similar to any other type of management system, includes the following key components:
a) policy;
b) persons with defined responsibilities;
c) management processes related to:
1) policy establishment;
2) awareness and competence provision;
3) planning;
4) implementation;
5) operation;
6) performance assessment;
7) management review; and
8) improvement; and
d) documented information.
An ISMS has additional key components such as:
e) information security risk assessment; and
f) information security risk treatment, inclu
...

SIST ISO/IEC 27003
SL O V EN S K I
S T ANDAR D
november 2018
Informacijska tehnologija – Varnostne tehnike – Sistemi vodenja
informacijske varnosti – Smernice

Information technology – Security techniques – Information security management
systems – Guidance
Technologies de l'information – Techniques de sécurité – Systèmes de
management de la sécurité de l'information – Lignes directrices

Referenčna oznaka
ICS 03.100.70; 35.030 SIST ISO/IEC 27003:2018 (sl)

Nadaljevanje na straneh 2 do 52

© 2025-12. Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

SIST ISO/IEC 27003 : 2018
NACIONALNI UVOD
Standard SIST ISO/IEC 27003 (sl), Informacijska tehnologija – Varnostne tehnike – Sistemi vodenja
informacijske varnosti – Smernice, 2018, ima status slovenskega standarda in je istoveten z
mednarodnim standardom ISO/IEC 27003 (en, fr, de), Information technology – Security techniques –
Information security management systems – Guidance, 2017.

NACIONALNI PREDGOVOR
Besedilo standarda ISO/IEC 27003:2017 je pripravil združeni tehnični odbor Mednarodne organizacije
za standardizacijo (ISO) in Mednarodne elektrotehniške komisije (IEC) ISO/IEC JTC 1 Informacijska
tehnologija. Slovenski standard SIST ISO/IEC 27003:2018 je prevod angleškega besedila
mednarodnega standarda ISO/IEC 27003:2017. V primeru spora glede besedila slovenskega prevoda
v tem standardu je odločilen izvirni mednarodni standard v angleškem jeziku. Slovensko izdajo
standarda je pripravil SIST/TC ITC Informacijska tehnologija.

Odločitev za privzem tega standarda je dne 1. novembra 2018 sprejel SIST/TC ITC Informacijska
tehnologija.
ZVEZA Z NACIONALNIMI STANDARDI

S privzemom tega mednarodnega standarda veljajo za omejeni namen referenčnih standardov vsi
standardi, navedeni v izvirniku, razen tistih, ki so že sprejeti v nacionalno standardizacijo:

SIST EN ISO/IEC 27000:2017, Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Pregled in izrazje

ISO/IEC 27001:2013, Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Zahteve

OSNOVA ZA IZDAJO STANDARDA
̶ privzem standarda ISO/IEC 27003:2017

PREDHODNA IZDAJA
̶ SIST ISO/IEC 27003:2011, Informacijska tehnologija – Varnostne tehnike – Smernice za izvedbo
sistema upravljanja informacijske varnosti

OPOMBE
‒ Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27003:2018 to pomeni “slovenski standard”.

‒ Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

SIST ISO/IEC 27003 : 2018
Vsebina       Stran
Predgovor k mednarodnemu standardu . 5
Uvod .6
1 Področje uporabe . 8
2 Zveze s standardi . 8
3 Izrazi in definicije . 8
4 Kontekst organizacije . 8
4.1 Razumevanje organizacije in njenega konteksta . 8
4.2 Razumevanje potreb in pričakovanj zainteresiranih strani . 10
4.3 Določitev obsega sistema vodenja informacijske varnosti . 11
4.4 Sistem vodenja informacijske varnosti. 13
5 Voditeljstvo . 13
5.1 Voditeljstvo in zavezanost . 13
5.2 Politika . 15
5.3 Organizacijske vloge, odgovornosti in pooblastila . 16
6 Načrtovanje . 17
6.1 Ukrepi za obravnavanje tveganj in priložnosti . 17
6.1.1 Splošno . 17
6.1.2 Ocenjevanje tveganj informacijske varnosti . 19
6.1.3 Obravnavanje tveganj informacijske varnosti . 22
6.2 Cilji informacijske varnosti in načrtovanje njihovega doseganja . 26
7 Podpora . 28
7.1 Viri . 28
7.2 Kompetentnost . 29
7.3 Ozaveščenost . 30
7.4 Sporočanje . 31
7.5 Dokumentirane informacije . 33
7.5.1 Splošno . 33
7.5.2 Ustvarjanje in posodabljanje . 34
7.5.3 Obvladovanje dokumentiranih informacij . 35
8 Delovanje . 36
8.1 Načrtovanje in obvladovanje delovanja . 36
8.2 Ocenjevanje tveganj informacijske varnosti. 38
8.3 Obravnavanje tveganj informacijske varnosti . 39
9 Vrednotenje delovanja . 39
9.1 Spremljanje, merjenje, analiza in vrednotenje . 39
9.2 Notranja presoja . 41
9.3 Vodstveni pregled . 43
10 Izboljševanje . 45

SIST ISO/IEC 27003 : 2018
10.1 Neskladnost in korektivni ukrep . 45
10.2 Nenehno izboljševanje . 48
Dodatek A (informativni) Okvir politike . 50
Viri in literatura . 52

SIST ISO/IEC 27003 : 2018
Predgovor k mednarodnemu standardu

ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC ustanovila
združeni tehnični odbor ISO/IEC JTC 1.

Postopki, uporabljeni pri pripravi tega dokumenta, in predvideni postopki za njegovo vzdrževanje so
opisani v 1. delu Direktiv ISO/IEC. Posebna pozornost naj se nameni različnim kriterijem odobritve,
potrebnim za različne vrste dokumentov. Ta dokument je bil zasnovan v skladu z uredniškimi pravili
2. dela Direktiv ISO/IEC (glej www.iso.org/directives).

Opozoriti je treba na možnost, da bi lahko bil kateri od elementov tega dokumenta predmet patentnih
pravic. ISO in IEC nista odgovorna za identificiranje katerekoli ali vseh takih patentnih pravic.
Podrobnosti o morebitnih patentnih pravicah, identificiranih med pripravo tega dokumenta, bodo
navedene v uvodu in/ali na seznamu patentnih izjav, ki jih je prejela organizacija ISO (glej
www.iso.org/patents).
Vsakršna trgovska imena, uporabljena v tem dokumentu, so informacije za uporabnike in ne pomenijo
podpore blagovni znamki.
Za razlago prostovoljne narave standardov, pomena specifičnih pojmov in izrazov ISO, povezanih z
ugotavljanjem skladnosti, ter informacij o tem, kako ISO spoštuje načela Svetovne trgovinske
organizacije (WTO) v Tehničnih ovirah pri trgovanju (TBT), glej naslednji naslov URL:
www.iso.org/iso/foreword.html.

Ta dokument je pripravil združeni tehnični odbor ISO/IEC JTC 1, Informacijska tehnologija, pododbor
SC 27, Varnostne tehnike IT.
Ta druga izdaja standarda ISO/IEC 27003 razveljavlja in nadomešča prvo izdajo
(ISO/IEC 27003:2010) ter vključuje manjše popravke.

Glavne spremembe glede na predhodno izdajo so naslednje:

‒ področje uporabe in naslov sta spremenjena, da vključujeta razlago in smernice glede zahtev
standarda ISO/IEC 27001:2013, ne predhodne izdaje (ISO/IEC 27001:2005),

‒ struktura je zdaj usklajena s strukturo standarda ISO/IEC 27001:2013, ki uporabniku omogoča
lažjo uporabo skupaj s tem standardom,

‒ predhodna izdaja je sledila projektnemu pristopu z zaporedjem aktivnosti. Ta izdaja pa zagotavlja
smernice v zvezi z zahtevami ne glede na vrstni red, v katerem se izvajajo.

SIST ISO/IEC 27003 : 2018
Uvod
Ta dokument podaja smernice glede zahtev za sistem vodenja informacijske varnosti (ISMS), kot je
določeno v standardu ISO/IEC 27001, in vključuje priporočila ("naj"), možnosti ("je mogoče") in
dovoljenja ("se lahko") v zvezi z njimi. Namen tega dokumenta ni zagotovitev splošnih smernic glede
vseh vidikov informacijske varnosti.

Točke od 4 do 10 v tem dokumentu odražajo strukturo standarda ISO/IEC 27001:2013.

Ta dokument ne dodaja nobenih novih zahtev za sistem vodenja informacijske varnosti ter z njim
povezanih izrazov in definicij. Organizacije se naj za zahteve in definicije sklicujejo na standarda
ISO/IEC 27001 in ISO/IEC 27000. Organizacije, ki izvajajo sistem vodenja informacijske varnosti, niso
dolžne upoštevati smernic iz tega dokumenta.

Sistem vodenja informacijske varnosti poudarja pomen naslednjih faz:

‒ razumevanje potreb organizacije in potrebe po vzpostavitvi informacijske varnostne politike in
določitvi ciljev informacijske varnosti,

‒ ocenjevanje tveganj organizacije, povezanih z informacijsko varnostjo,

‒ izvajanje in upravljanje procesov informacijske varnosti, kontrol in drugih ukrepov za obravnavo
tveganj,
‒ spremljanje in pregledovanje delovanja in uspešnosti sistema vodenja informacijske varnosti; in

‒ izvajanje nenehnega izboljševanja.

Podobno kot drugi sistemi vodenja tudi sistem vodenja informacijske varnosti vključuje naslednje
ključne komponente:
a) politiko,
b) osebe z določeno odgovornostjo,

c) procese vodenja, povezane s/z:

1) oblikovanjem politike,
2) ozaveščenostjo in zagotavljanjem kompetentnosti,

3) načrtovanjem,
4) izvajanjem,
5) upravljanjem,
6) oceno delovanja,
7) vodstvenim pregledom; in
8) izboljšanjem; ter
d) dokumentirane informacije.
Sistem vodenja informacijske varnosti zajema dodatne ključne komponente, kot sta:

e) ocenjevanje tveganj informacijske varnosti; in

f) obravnavanje tveganj informacijske varnosti, vključno z določanjem in izvajanjem kontrol.

Ta dokument je splošen in je namenjen uporabi v vseh organizacijah ne glede na vrsto, velikost ali
naravo. Organizacija naj ugotovi, kateri del teh smernic velja zanjo glede na njen ustrezen
organizacijski kontekst (glej točko 4 v ISO/IEC 27001:2013).

Nekatere smernice, na primer, so lahko ustreznejše za večje organizacije, medtem ko so za zelo
SIST ISO/IEC 27003 : 2018
majhne organizacije (npr. z manj kot 10 osebami) nekatere smernice lahko nepotrebne ali neustrezne.

Opisi točk od 4 do 10 so strukturirani na naslednji način:

‒ zahtevana aktivnost: predstavlja ključne aktivnosti, ki so zahtevane v ustrezni podtočki
standarda ISO/IEC 27001,
‒ razlaga: pojasnjuje, kaj pomenijo zahteve standarda ISO/IEC 27001,

‒ smernice: zagotavljajo podrobnejše ali podporne informacije za izvajanje "zahtevane aktivnosti",
vključno s primeri za izvajanje; in

‒ druge informacije: navaja druge informacije, ki ji je mogoče upoštevati.

ISO/IEC 27003, ISO/IEC 27004 in ISO/IEC 27005 tvorijo nabor dokumentov za podporo in podajanje
smernic za ISO/IEC 27001:2013. Med njimi je ISO/IEC 27003 osnoven in celovit dokument, ki podaja
smernice za vse zahteve standarda ISO/IEC 27001, vendar ne vključuje podrobnih opisov v zvezi s
"spremljanjem
...