Informační bezpečnost

S prosazováním informačních a komunikačních systémů (ICS) v každodenní podnikové praxi se objevuje i otázka zabezpečení těchto systémů. Podle principu normativních doporučení ISO 9001 byly zavedeny speciální postupy pro zavedení a fungování manažerských informačních bezpečnostních systémů ISMS (Information Security Management System) podle normy ISO/IEC 27001:2005.

Kritéria pro zajištění systému informační bezpečnosti se do vydání této normy objevovala především v britských normách BS 7799. Podpůrné informace již byly i v normě ISO IEC 17799. Vydání norem ISO/IEC řady 27 000 má pomoci posílit zejména v oblasti ICS bezpečnost těchto systémů. Mezi hlavní rizikové faktory ohrožující informační bezpečnost patří zejména vlastní zaměstnanci, zvláště pak správci a vývojáři, bývalí zaměstnanci, externí hackeři, počítačové viry, informační „špionáž“, „vandalismus“ atd.

V listopadu roku 2005 byla zatím vydána kriteriální norma ISO/IEC 27 001, počítá se s vydáním terminologické normy ISO/IEC 27 000, dále pak norem ISO/IEC 27002 – Sbírka bezpečnostních praktik, ISO/IEC 27003 – Návod k implementaci systému bezpečnosti informací, ISO/IEC 27004 – Management měření a metrik v ISMS a normy ISO/IEC 27006 – Metody a požadavky na služby havarijní obnovy.

Známé tvrzení, že systém je tak stabilní jako jeho nejslabší článek, platí u bezpečnosti možná více než kdekoliv jinde. Implementace ISMS je tak jen logickým vyústěním snahy o kontrolu a řízení informační bezpečnosti, neboť ISMS vnáší pořádek do aktivit řízení, denní správy a provozu informačních systémů.