2.2.36
ISO/IEC 27013 a použití standardů k řízení bezpečnosti informací a k řízení IT služeb v integrovaném systému managementu
Doc. Ing. Alois Fiala, CSc., Ing. Monika Becková a kolektiv autorů
Mezinárodní organizace ISO vydala poměrně nedávno nový standard z celé řady norem upravujících systémy managementu bezpečnosti informací, kterým je ISO/IEC 27013:2012: Informační technologie – Bezpečnostní techniky – Směrnice pro integrované zavádění normy ISO/IEC 27001 a ISO/IEC 20000-1 (v originále pod názvem "IT Security – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1“). V české verzi, stejně jako v řadě dalších případů nových norem z oblasti bezpečnosti informací, bohužel není zatím norma k dispozici.
Pro koho je standard určen?
Tento standard poskytuje doporučení pro integraci dvou výše uvedených, vzájemně úzce souvisejících systémů managementu používaných v oblasti bezpečnosti informací.
Těmi jsou následující, nám již dlouho známé normy:
-
ISO/IEC 27001,
-
ISO/IEC 20000-1.
První z nich vyšla v české verzi jako ČSN ISO/IEC 27001:2006: "Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky“, a přibližně od roku 2007, kdy byly uděleny Českým institutem pro akreditaci, o. p. s. (národní akreditační orgán v ČR), první akreditace pro tuto oblast českým certifikačním orgánům, je norma používána jako základ pro certifikaci i v českém prostředí, i když není stále tak hojně implementována v praxi jako standardy v oblasti kvality či environmentu, a rovněž počet vydaných certifikátů je prozatím v této oblasti stále výrazně nižší. Norma stanovuje obecné požadavky na systém managementu bezpečnosti informací v jakékoli organizaci, ať už komerční, neziskové, či státní (veřejné). Jejím smyslem je vytvoření takového systému řízení v organizaci, aby byla dostatečně zabezpečena ochrana dat, informací a dalších aktiv, která mají pro organizaci význam, a bylo minimalizováno případné poškození organizace v případě bezpečnostních incidentů.
Druhý standard má dvě části, jež jsou v české verzi používány pod názvem:
-
ČSN ISO/IEC 20000-1:2012: "Informační technologie – Management služeb – Část 1: Požadavky na systém managementu služeb“,
-
ČSN ISO/IEC 20000-2:2007: "Informační technologie – Management služeb – Část 2: Soubor postupů“
a týkají se sektoru, jenž je z hlediska managementu bezpečnosti informací velice významný, a to sektoru managementu služeb v informačních technologiích (těmito službami může být např. zpracování, zálohování, archivace i záchrana dat zákazníka, vytváření a implementace informačních systémů apod.). Zaměřují se na zlepšování kvality, zvyšování efektivity a snížení nákladů u procesů v informačních technologiích (IT), popisují procesy řízení pro poskytování služeb IT. Svou filozofií a obsahem se řídí ustanoveními IT Infrastructure Library (ITIL).
První norma stanovuje požadavky na poskytovatele IT služeb, jejichž splnění má zabezpečit kvalitu přijatelnou (či dostatečnou) pro zákazníky. Je, stejně jako norma ISO/IEC 27001, určená, resp. použitelná jako základ pro certifikaci.
Druhá z nich nestanovuje požadavky, ale poskytuje návody a doporučení k implementaci požadavků uvedených v první části.
Máme tedy k dispozici dva standardy pro oblast informačních technologií jako základ pro certifikaci, a protože se obě oblasti (jak systém managementu bezpečnosti informací obecně, tak oblast poskytování IT služeb) velice úzce prolínají, nabízí se možnost je oba použít v rámci integrovaného systému řízení. Právě pro takové případy poskytuje nový standard ISO/IEC 27013: "IT Security – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1“ doporučení pro realizaci systému řízení informační bezpečnosti a systému pro řízení IT…
