2.2.3
Informační technologie - ČSN ISO/IEC 27001:2006 a další
Doc. Ing. Alois Fiala, CSc.
Informace jsou majetkem, který má v dnešní době bezesporu pro
organizace stále větší hodnotu. V oblasti některých druhů poskytovaných služeb,
jako je např. automatizované zpracování dat apod., jsou dokonce předmětem
podnikání. S tím, jak se společnost mění v informační, je věnována bezpečnosti
informací stále větší pozornost, a to zejména v oblasti elektronicky
zpracovávaných informací.
NahoruBezpečnost informací
Bezpečnost informací je přitom charakterizována jako zachování:
-
důvěrnosti (informace je dostupná pouze těm osobám, pro které je
určena - řízený a oprávněný přístup),
-
integrity (zabezpečení správnosti a kompletnosti informací a
metod zpracování),
-
dostupnosti (zajištění toho, aby informace a na ně navázaná
aktivita byly přístupné autorizovaným uživatelům podle potřeby).
Bezpečnosti informací lze dosáhnout dvěma způsoby:
Zavedení soustavy opatření -
Zavedením soustavy opatření: znamená stanovení a
implementaci soustavy příslušných pravidel, zavedení specifických organizačních
struktur, odpovědností a pravomocí, definování procesů, práv, způsobů ochrany.
Bezpečnost, která je navržena pouze jako soubor jednotlivých technických
opatření, by mohla být nedostatečná. Z toho důvodu se jeví jako vhodnější
systémový přístup - ad 2).
NahoruAplikace
-
Aplikací systému managementu bezpečnosti informací: takový
systém bylo dosud možno implementovat a uplatňovat v souladu s požadavky ČSN BS
7799-2, která byla v současnosti nahrazena normou ISO/IEC 27001. Tato
norma podporuje stejně jako např. ISO 9001 nebo ISO 14001 procesní přístup při
budování, zavedení, provozování a udržování ISMS (Information Security
Management Systém) a oproti BS 7799 rozšířila celkový počet bezpečnostních
opatření a cílů opatření. Procesní přístup klade důraz na pochopení požadavků
na bezpečnost informací, stanovení politiky a cílů bezpečnosti informací,
zavedení a provádění kontrol v kontextu s řízením bezpečnostních rizik
organizace, monitorování a přezkoumávání funkčnosti a efektivnosti ISMS a v
neposlední řadě na neustálé zlepšování založené na objektivním měření a
pozorování. Model PDCA známý z ostatních systémů managementu může být aplikován
na všechny procesy související s ISMS.
NahoruPostup zavedení
Postup zavedení systému ISMS v souladu s touto normou je
zjednodušeně následující:
-
definice rozsahu ISMS,
-
definice politiky ISMS,
-
stanovení metodiky pro hodnocení rizik a provedení hodnocení
rizik,
-
řízení rizik,
-
stanovení bezpečnostních cílů a opatření včetně cílů kontrol a
jednotlivých kontrol pro zvládání rizik,
-
zpracování prohlášení o aplikovatelnosti (obsahuje cíle kontrol
i jednotlivé kontroly včetně důvodů pro jejich výběr).
Stejně jako ostatní systémy managementu…
