ISO 27001

ISO 27001

ISO 27001 a Informační bezpečnost

S prosazováním informačních a komunikačních systémů (ICS) v každodenní podnikové praxi se objevuje i otázka zabezpečení těchto systémů. Podle principu normativních doporučení ISO 9001 byly zavedeny speciální postupy pro zavedení a fungování manažerských informačních bezpečnostních systémů ISMS (Information Security Management System) podle normy ISO 27001 (ISO/IEC 27001:2013).  V České republice je tento standard označen jako Systémy managementu bezpečnosti informací podle normy ČSN ISO/IEC 27001:2014.

Historie ISO 27001

Kritéria pro zajištění systému informační bezpečnosti se do vydání této normy objevovala především v britských normách BS 7799. Podpůrné informace již byly i v normě ISO IEC 17799. Vydání norem ISO/IEC řady 27000 má pomoci posílit zejména v oblasti ICS bezpečnost těchto systémů. Mezi hlavní rizikové faktory ohrožující informační bezpečnost patří zejména vlastní zaměstnanci, zvláště pak správci a vývojáři, bývalí zaměstnanci, externí hackeři, počítačové viry, informační „špionáž“, „vandalismus“ atd.

Kriteriální norma nese označení ISO 27001 (úplné označení ČSN ISO/IEC 27001:2014), dále pak normy

  • ISO/IEC 27000 - Terminologie
  • ISO/IEC 27002 - Sbírka bezpečnostních praktik
  • ISO/IEC 27003 - Návod k implementaci systému bezpečnosti informací
  • ISO/IEC 27004 - Management měření a metrik v ISMS
  • ISO/IEC 27006 - Metody a požadavky na služby havarijní obnovy.

ISO 27001 - Systém je tak stabilní jako jeho nejslabší článek

Známé tvrzení, že systém je tak stabilní jako jeho nejslabší článek, platí u bezpečnosti možná více než kdekoliv jinde. Implementace ISMS je tak jen logickým vyústěním snahy o kontrolu a řízení informační bezpečnosti, neboť ISO 27001 - ISMS vnáší pořádek do aktivit řízení, denní správy a provozu informačních systémů. 

Základní popis ISO 27001

ISMS (Information Security Management System)
ISMS (Systém managementu bezpečnosti informací)

  • je souborem opatření, metod, zásad a pravidel, vycházejících z osvědčených praktických postupů. Je popsán a standardizován mezinárodními normami, platnými v ČR, EU i většině rozvinutých zemí světa
  • eliminuje slabiny a nabízí systematický, procesní a efektivní přístup k řízení bezpečnosti informací. Postupy ISMS jsou obdobné postupům v oblasti řízení kvality, existují zavedené standardy a ISMS dané organizace lze certifikovat dle standardu ISO 27001 (ČSN ISO/IEC 27001:2014)
  • efektivitou v doslovném smyslu rozumíme i efektivitu investovaných financí a úsilí do bezpečnosti informací. Lze totiž postupovat na základě znalosti aktiv – hodnot, která chráníme a znalosti konkrétních rizik, která chceme eliminovat implementací protiopatření

Proč si ve společnosti zavést ISO 27001 - ISMS

Přínos pro IT

  • eliminace rizik souvisejících s možným narušením důvěrnosti, integrity a dostupnosti dat
  • důraz bude dále prioritně kladen na klíčové segmenty IT a komunikační infrastruktury (i plánování dalšího rozvoje)
  • sjednocení postupů pro nakládání s informacemi, IT procesů a odpovědností za bezpečnost pro celou firmu
  • zavedení správných pracovních návyků pro všechny zaměstnance z hlediska bezpečnosti informací (trvalý proces nezatěžující běžný provoz)
  • zvýšení nebo vynucení odpovědnosti zaměstnanců za bezpečnost informací

Přínos ISO 27001 pro finance

  • efektivnější a cílené vynakládání investic do bezpečnosti a IT
  • identifikace hrozeb, které mohou přímo nebo nepřímo ohrozit aktiva společnosti
  • jednoznačná identifikace a ocenění aktiv firmy
  • úspora nákladů na odstraňování následků bezpečnostních incidentů

Přínos pro marketing

  • kritická obchodní data budou lépe chráněna před konkurencí
  • zvýšení atraktivnosti a důvěryhodnosti ve vztahu k partnerům
  • získání konkurenční výhody, pozitivní dopad na image firmy
  • data klientů budou chráněna proti zneužití
  • zajištění souladu s legislativou (zákon č. 101/2001 Sb. o ochraně osobních údajů,  trestní odpovědnost dle § 178 trestního zákoníku 140/1961 Sb. za neoprávněné nakládání s osobními údaji)

 Naplnění legislativy

  • zákon na ochranu osobních údajů sankce pro fyzické osoby 100.000,- až 5 mil. Kč,  sankce pro právnické osoby 5mil. až 10mil. Kč
  • zákon o elektronických komunikacích sankce až 10 mil. Kč
  • autorský zákon   … až trestný čin

Proč certifikovat ISO 27001

  • shoda je certifikována externí nezávislou institucí udělující značku, která sděluje a demonstruje shodu veřejnosti
  • budování důvěryhodnosti pro různé skupiny (zákazníky, autority, finanční ústavy, atd.)
  • kontinuální monitorování a zlepšování ochrany dat a bezpečnosti informací
  • konkurenční výhoda a kultivace image

 

Zpět na hlavní stránku www.noveiso.cz

 

Zavedení a udržování dalších norem

  • ISO 19011 (ISO 19011:2011, ČSN EN ISO 19011:2012) Auditování systémů managementu
  • ISO 9001 (ISO 9001:2015, ČSN EN ISO 9001:2016) Systém managementu kvality.
  • ISO 14001 (ISO 14001:2015,  ČSN EN ISO 14001:2016) Systém environmentálního managementu
  • ISO 18001 (OHSAS, ČSN OHSAS 18001:2008) BOZP
  • ISO 27001 (ISO/IEC 27001:2013, ČSN ISO/IEC 27001:2014) Systém managementu bezpečnosti informací
  • HACCP Analýza nebezpečí a kritické kontrolní body - Vzory ke stažení
  • ISO 3834 (ISO 3834:2005, ČSN EN ISO 3834-2-4:2006)