Systém pro bezpečnost informací s pomocí ISO 27001
Téma „informační bezpečnosti“ je pro firmy v době digitální transformace stále důležitější. Bez odpovídajících bezpečnostních opatření hrozí ztráta a krádež dat hackery, narušení provozu v důsledku webových útoků nebo zneužití dat. Alternativou pro strukturovaný přístup je systém řízení bezpečnosti informací (ISMS) podle normy ISO 27001.
Co je to norma ISO 27001?
ISO/IEC 27001 je přední mezinárodní norma pro zavádění uceleného systému řízení bezpečnosti informací. Zaměřuje se na identifikaci, hodnocení a řízení rizik pro procesy správy informací. Bezpečnost důvěrných informací je zdůrazněna jako zásadní strategický faktor. Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být triviální, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření v systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001. Systém ISMS vytváří rámec pro ochranu podnikových dat a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do procesů společnosti. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: konkrétně nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS. S normou EN ISO/IEC 27001:2017-06 byla zveřejněna verze koordinovaná Evropským výborem pro normalizaci (CEN). Spojuje dvě opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Změny spojené s opravou zahrnují pouze vylepšený popis souvisejících požadavků, ale žádné nové dodatečné požadavky. Certifikáty podle verze ISO/IEC 27001:2013 si tak zachovávají svou platnost.
Pro koho je certifikace ISO 27001 vhodná?
Norma ISMS ISO 27001 platí celosvětově. Poskytuje společnostem všech velikostí a odvětví rámec pro plánování, zavádění a monitorování bezpečnosti informací. Požadavky jsou platné a závazné pro soukromé a veřejné společnosti i neziskové organizace. Například v Německu musí společnosti patřící do odvětví kritické infrastruktury (KRITIS) a překračující určitou prahovou hodnotu prokázat, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finančnictví a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkazy o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testování nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznané německým Spolkovým úřadem pro bezpečnost informací (BSI).
Čím je norma ISO 27001 užitečná pro mou společnost?
Zavedení systému ISMS podle normy ISO/IEC 27001 je pro vaši společnost strategickým rozhodnutím. Dodržování záměrných obecných požadavků normy musí odrážet konkrétní situaci společnosti. Implementace ve společnosti závisí na potřebách a cílech, bezpečnostních požadavcích a organizačních procesech, stejně jako na velikosti a struktuře společnosti. Pro praxi je zvláště cenná implementace opatření uvedených v příloze A normy. Kromě části zaměřené na požadavky systému řízení (kapitoly 4-10) obsahuje norma ISO obsáhlý seznam 35 kontrolních cílů se 114 konkrétními opatřeními pro různé bezpečnostní aspekty ve 14 kapitolách v příloze A. Opatření musí být implementována v rámci systému řízení. Tato opatření musí být implementována jako součást systému řízení v rozsahu, v jakém jsou pro vaši společnost relevantní. Ukázalo se, že důsledné sladění procesů společnosti s normou ISO 27001 vede k několika přínosům:
- Neustálé zlepšování úrovně zabezpečení.
- Snížení stávajících rizik.
- Dodržování požadavků na shodu s předpisy.
- Zvýšené povědomí zaměstnanců.
- Zvýšená spokojenost zákazníků
Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami k dosažení tohoto cíle. K dalším pozitivním aspektům patří, že zainteresované strany, jako jsou regulační orgány, pojišťovny, banky a partnerské společnosti, si vybudují větší důvěru ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že vaše organizace řídí rizika strukturovaným způsobem a je odhodlána k neustálému zlepšování (CIP), díky čemuž je odolnější vůči nežádoucím dopadům. Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).