Systém informační bezpečnosti podle ISO/IEC 27001 je část celkového systému řízení, založená na přístupu k riziku podniku, jejímž úkolem je zavést, implementovat, provozovat, monitorovat, revidovat, udržovat a zlepšovat informační bezpečnost .
Ve světě je budování a certifikace systémů informační bezpečnosti podle ISO/IEC 27001 běžným pojmem, zatímco na Slovensku se tento proces teprve rozbíhá. Některé firmy mají vcelku dobře zvládnutou infrastrukturu informační bezpečnosti, avšak založenou většinou na subjektivitě přístupů, úkolů a odpovědností.
Informační bezpečnost je více než informační technologie. Systém managementu informační bezpečnosti umožní organizaci přiměřeně zacházet se svými informacemi a chránit je před nechtěným unikem.
V době prudkého rozmachu technických řešení na míru ušitých požadavkům na zjednodušení a rychlou výměnu informací jsme stále častěji svědky nechtěných úniků. I rostoucí migrace zaměstnanců mezi konkurenčními společnostmi představuje riziko ztráty důležitých poznatků při odchodu těchto zaměstnanců z organizace. Systematický přístup k informační bezpečnosti pomáhá organizaci řídit informační toky. Poskytuje organizacím nástroj pro identifikaci kritických aktiv a jejich ochranu, vytváří možnost získat si důvěru zaměstnanců, zákazníků, vlastníků a celé společnosti.
Fáze budování ISMS
Obecně platí, že bez toho, aby si to někdo uvědomoval, řada požadavků na ISMS bývá v organizacích splněn a tedy i realizován v souvislosti s řešením jiných problémů nebo okruhů.
Je to dané například tím, že organizace řeší bezpečnost IS, řeší fyzickou a objektovou bezpečnost, posuzuje uchazečů o přijetí do zaměstnání, zálohuje a archivuje data, vytváří plány obnovy činnosti IS po havárii a pod. Tím ale současně plní i určité požadavky kladené na ISMS.
V případě, že se vedení organizace/podniku/společnosti rozhodne vybudovat ISMS v souladu s normou ISO/IEC 27001, přitom doporučená postupnost kroků je taková :
1. Analýza stavu ISMS,
- Určení rámce ISMS,
- Aktualizace a dopracování dokumentace ISMS,
- Provádění procesů ISMS do praxe,
- Předcertifikační audit ISMS,< /strong>
- Certifikační audit ISMS,
- Udržování a zlepšování ISMS.
- Analýza stavu ISMS
Cílem analýzy stavu ISMS je určit stávající stav zejména z hlediska toho, jak stávající přístup organizace k informační bezpečnosti splňuje požadavky normy. Oblasti, které jsou předmětem analýzy, jsou dány normou a patří mezi ně zejména :
· Procesy a postupy vyžadované normou ISO%IEC 27001,
- Opatření vyžadovaná normou,
- Dokumentace vyžadovaná normou,
- Interní normy řízení vyžadované normou,
- < em>Záznamy o fungování ISMS vyžadované normou.
V současnosti jsou na trhu dostupné nástroje, které umožňují takovou rozdílovou analýzu realizovat s podporou SW nástroje.
- Definovat politiku ISMS ve smyslu charakteristik podnikání organizace, její lokalizace, aktiv a technologií, která:
- zahrnuje soustavu pro stanovení jejích cílů a zavádí celkové chápání směrování a zásad jednání vzhledem k informační bezpečnosti;
- bere do úvahy podnikatelské a právní nebo regulační požadavky a smluvní bezpečnostní závazky;
- zavádí strategický kontext organizace a řízení rizik, ve kterém bude realizováno zavádění a údržba ISMS;
- zavádí kritéria, podle kterých se bude ohodnocovat riziko a definovat struktura stanovení rizika
Politika ISMS by měla být schválena managementem organizace.
Aktualizace a dopracování dokumentace ISMS
Manažer pověřený budováním systému informační bezpečnosti podle ISO 27001 a jeho přípravou na certifikaci by měl zajistit vlastními kapacitami nebo externě :
- vytvoření chybějící dokumentace ISMS,
- a aktualizaci stávající dokumentace.
- formulovat plán ošetření rizik, který identifikuje vhodné kroky řízení, odpovědnosti a priority řízení rizik informační bezpečnosti
- řídit provoz a to pomocí zdrojů a zároveň implementovat jednotlivé postupy
Dokumentace systému informační bezpečnosti je popsána v normě ISO 27001.
Provádění procesů systému informační bezpečnosti podle ISO/IEC 27001 do praxe
Organizace budující systém informační bezpečnosti by měla provádět následující činnosti
Předcertifikační audit systému informační bezpečnosti
Po určitém období normálního fungování ISMS, doporučuje se 2 až 6 měsíců, je možné přistoupit k předcertifikačnímu auditu.
Cílem předcertifikačního auditu je zjistit, zda všechny požadavky normy byly v organizaci uspokojivě realizovány, zda ISMS funguje efektivně a tedy existuje předpoklad, že ISMS je certifikovatelný nezávislým certifikačním orgánem .
Předcertifikační audit zpravidla provádí externí poradensko-konzultační firma mající zkušenosti s budováním ISMS a prověřováním jejich souladu s požadavky normy ISO/IEC 27001.
Certifikační audit ISMS podle ISO 27001
Certifikační audit ISMS provádějí akreditované certifikační orgány.
Při realizaci certifikačního auditu podle ISO 27001 se certifikační orgány řídí vlastními metodikami, které jsou v souladu s platným certifikačním schématem. Certifikační audit ISMS trvá v závislosti na velikosti společnosti a rozsahu ISMS od jednoho po tři, případně i více dní
Po úspěšné certifikaci ISMS, která končí vydáním certifikátu s platností 3 roky, pravidelně, jednou ročně probíhají tzn. dohledové audity.