Řízení bezpečnosti informací
Systém řízení bezpečnosti informací (ISMS) je určen k ochraně informací a ke zvládání rizik, které mohou používané informace potenciálně ohrožovat. ISMS vytváří soubor pravidel pro efektivní řízení a omezování případných hrozeb a soubor opatření a požadavků k zajištění ochrany a bezpečnosti všech důležitých aktiv organizace tj. informací, know-how, majetku a osob.
Pod pojmem bezpečnost informací rozumíme především jejich dostupnost,integritu (úplnost a správnost) a důvěrnost. Nejedná se tedy jen o důvěrnost informací (tatvoří menší část celého problému). Největší podíl na bezpečnosti připadá právějejich dostupnosti a integritě. Velký vliv na bezpečnost informací ve firmáchmají právě aspekty, které většinou nejsou z pohledu bezpečnosti informací nijak systematickyřízeny, jako například konfigurace hardwarových zařízení, smlouvys třetími stranami, propojování informačních systémů směrem ven i dovnitř,výchova zaměstnanců…
Komu je ISO/IEC 27001 určeno
Všechny organizace jsou při provozování svých podnikatelských aktivit závislé na informacích, přičemž většina informací je zpracovávánaelektronicky. Bezpečnost informací může být ohrožena z mnoha stran. Pokud bysystém ochrany dat ve společnosti nebyl bezpečný, následky narušení či havárieby mohly být katastrofální. Zavedení ISMS není tedy jen pro organizace, které
- zpracovávají informace a data formou outsourcingu
- zpracovávají informace a data občanů (nemocnice, státní správa, pojišťovny, úřady)
- zpracovávají informace a data obchodních partnerů
- zajišťují zadávání veřejných zakázek
Zatímco certifikáty ISO 9001 jsou v mnoha případech standardem, certifikacepodle ISO/IEC 27001 je značnou konkurenční výhodou.
Organizace certifikátem ISO/IEC 27001 prokazují svoji schopnost trvale uplatňovatbezpečnostní opatření chránící informační aktiva s cílem poskytnout jistotusvým partnerům o dostatečné úrovni zabezpečení informací. Jako dalšípřínosy zavedení ISMS je možno uvést:
- identifikace rizik a nástroj pro jejich eliminaci a řízení
- minimalizace rizika ekonomických ztrát souvisejících se selháním informační techniky
- minimalizace rizika odcizení kritických informací (know - how, data zákazníkůapod.)
- vytvoření základu pro další zlepšování
Norma ISO/IEC 27001 je vývojový model pro zajištění bezpečnosti informací vorganizacích. Jejím cílem by mělo být pomoci zavést do organizací systémový přístupk bezpečnému zajištění firemních informací.