Řízení bezpečnosti informací

Řízení bezpečnosti informací

Systém řízení bezpečnosti informací (ISMS) je určen k ochraně informací a ke zvládání rizik, které mohou používané informace potenciálně ohrožovat. ISMS vytváří soubor pravidel pro efektivní řízení a omezování případných hrozeb a soubor opatření a požadavků k zajištění ochrany a bezpečnosti všech důležitých aktiv organizace tj. informací, know-how, majetku a osob.


Pod pojmem bezpečnost informací rozumíme především jejich dostupnost,integritu (úplnost a správnost) a důvěrnost. Nejedná se tedy jen o důvěrnost informací (tatvoří menší část celého problému). Největší podíl na bezpečnosti připadá právějejich dostupnosti a integritě. Velký vliv na bezpečnost informací ve firmáchmají právě aspekty, které většinou nejsou z pohledu bezpečnosti informací nijak systematickyřízeny, jako například konfigurace hardwarových zařízení, smlouvys třetími stranami, propojování informačních systémů směrem ven i dovnitř,výchova zaměstnanců…

Komu je ISO/IEC 27001 určeno

Všechny organizace jsou při provozování svých podnikatelských aktivit závislé na informacích, přičemž většina informací je zpracovávánaelektronicky. Bezpečnost informací může být ohrožena z mnoha stran. Pokud bysystém ochrany dat ve společnosti nebyl bezpečný, následky narušení či havárieby mohly být katastrofální. Zavedení ISMS není tedy jen pro organizace, které

  • zpracovávají informace a data formou outsourcingu
  • zpracovávají informace a data občanů (nemocnice, státní správa, pojišťovny, úřady)
  • zpracovávají informace a data obchodních partnerů
  • zajišťují zadávání veřejných zakázek

Zatímco certifikáty ISO 9001 jsou v mnoha případech standardem, certifikacepodle ISO/IEC 27001 je značnou konkurenční výhodou.

Organizace certifikátem ISO/IEC 27001 prokazují svoji schopnost trvale uplatňovatbezpečnostní opatření chránící informační aktiva s cílem poskytnout jistotusvým partnerům o dostatečné úrovni zabezpečení informací. Jako dalšípřínosy zavedení ISMS je možno uvést:

  • identifikace rizik a nástroj pro jejich eliminaci a řízení
  • minimalizace rizika ekonomických ztrát souvisejících se selháním informační techniky
  • minimalizace rizika odcizení kritických informací (know - how, data zákazníkůapod.)
  • vytvoření základu pro další zlepšování

Norma ISO/IEC 27001 je vývojový model pro zajištění bezpečnosti informací vorganizacích. Jejím cílem by mělo být pomoci zavést do organizací systémový přístupk bezpečnému zajištění firemních informací.

© 2012 - 2018 AQM - Alpha Quality Management s.r.o.