Systém řízení bezpečnosti informací
Systém řízení bezpečnosti informací (Information Security Management System - ISMS) je dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována. Pojem primárně zavedla norma ISO/IEC 17799 (mezinárodní norma převzatá z Britského standardu BS 7799-1:1999), publikovaná Mezinárodní organizací pro normalizaci (ISO) v roce 2000. Novější revidovaná verze je součástí nové řady norem týkající se bezpečnosti informací ISO 27000.
Úvod
ISMS je efektivní dokumentovaný systém řízení a správy informačních aktiv s cílem eliminovat jejich možnou ztrátu, poškození a nedostupnost tím, že:
- jsou určena aktiva, která se mají chránit
- jsou zvolena a řízena možná rizika bezpečnosti informací
- jsou zavedena opatření s požadovanou úrovní záruk a ta jsou kontrolována.
ISMS může být zaveden pro organizační složku společnosti, informační systém nebo jeho část, případně může zahrnovat celou organizaci. Zavedení systému řízení bezpečnosti informací (ISMS) je strategickým rozhodnutím vedení společnosti. Tento systém začínají hojně využívat všechny organizace bez ohledu na velikost či obor činnosti, pro které jsou informace a informační technologie klíčovou součástí podnikatelských procesů, nebo které spravují citlivá data svých klientů a mají potřebu efektivně a komplexně zajistit jejich bezpečnost.
Certifikace
Při zavádění systému řízení bezpečnosti informací v organizaci se postupuje podle normy ISO/IEC 27001, která poskytuje doporučení, jak ze souboru doporučených nejlepších postupů, které uvádí norma ISO/IEC 27002 (původně ISO/IEC 17799), případná certifikace se pak provádí podle normy ISO/IEC 27001.
Přínosy zavedení a certifikace ISMS
- Přechod od nesystémového a neuceleného řízení bezpečnosti k bezpečnosti řízené a komplexní
- Efektivní řízení investic vkládaných do bezpečnosti
- Inventura vlastních aktiv, jejich ocenění a klasifikace
- Řízené odstranění nebo snížení rizik v oblasti informačních systémů
- Zavedení systémového a systematického přístupu při používání IT/IS
- Zvýšení povědomí a odpovědnosti zaměstnanců při práci s informacemi
- Naplnění legislativních požadavků
- Zvýšení důvěryhodnosti pro partnery
- Trvalé monitorování a zlepšování systému řízení bezpečnosti informací (ISMS)
- Konkurenční výhoda, kultivace Image a firemní kultury