dnes je 4.10.2022

Input:

Informační technologie - ČSN ISO/IEC 27001:2006 a další

15.10.2007, , Zdroj: Verlag Dashöfer

2.2.3
Informační technologie - ČSN ISO/IEC 27001:2006 a další

Doc. Ing. Alois Fiala, CSc.

Informace jsou majetkem, který má v dnešní době bezesporu pro organizace stále větší hodnotu. V oblasti některých druhů poskytovaných služeb, jako je např. automatizované zpracování dat apod., jsou dokonce předmětem podnikání. S tím, jak se společnost mění v informační, je věnována bezpečnosti informací stále větší pozornost, a to zejména v oblasti elektronicky zpracovávaných informací.

Bezpečnost informací

Bezpečnost informací je přitom charakterizována jako zachování:

  • důvěrnosti (informace je dostupná pouze těm osobám, pro které je určena - řízený a oprávněný přístup),

  • integrity (zabezpečení správnosti a kompletnosti informací a metod zpracování),

  • dostupnosti (zajištění toho, aby informace a na ně navázaná aktivita byly přístupné autorizovaným uživatelům podle potřeby).

Bezpečnosti informací lze dosáhnout dvěma způsoby:

    Zavedení soustavy opatření
  1. Zavedením soustavy opatření: znamená stanovení a implementaci soustavy příslušných pravidel, zavedení specifických organizačních struktur, odpovědností a pravomocí, definování procesů, práv, způsobů ochrany. Bezpečnost, která je navržena pouze jako soubor jednotlivých technických opatření, by mohla být nedostatečná. Z toho důvodu se jeví jako vhodnější systémový přístup - ad 2).

    Aplikace

  2. Aplikací systému managementu bezpečnosti informací: takový systém bylo dosud možno implementovat a uplatňovat v souladu s požadavky ČSN BS 7799-2, která byla v současnosti nahrazena normou ISO/IEC 27001. Tato norma podporuje stejně jako např. ISO 9001 nebo ISO 14001 procesní přístup při budování, zavedení, provozování a udržování ISMS (Information Security Management Systém) a oproti BS 7799 rozšířila celkový počet bezpečnostních opatření a cílů opatření. Procesní přístup klade důraz na pochopení požadavků na bezpečnost informací, stanovení politiky a cílů bezpečnosti informací, zavedení a provádění kontrol v kontextu s řízením bezpečnostních rizik organizace, monitorování a přezkoumávání funkčnosti a efektivnosti ISMS a v neposlední řadě na neustálé zlepšování založené na objektivním měření a pozorování. Model PDCA známý z ostatních systémů managementu může být aplikován na všechny procesy související s ISMS.

Postup zavedení

Postup zavedení systému ISMS v souladu s touto normou je zjednodušeně následující:

  1. definice rozsahu ISMS,

  2. definice politiky ISMS,

  3. stanovení metodiky pro hodnocení rizik a provedení hodnocení rizik,

  4. řízení rizik,

  5. stanovení bezpečnostních cílů a opatření včetně cílů kontrol a jednotlivých kontrol pro zvládání rizik,

  6. zpracování prohlášení o aplikovatelnosti (obsahuje cíle kontrol i jednotlivé kontroly včetně důvodů pro jejich výběr).

Stejně jako ostatní systémy managementu

Nahrávám...
Nahrávám...