Audit Zabezpečení Systém řízení
Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky
Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je
součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Je založen na
přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA (Plan – Do – Check
– Act), který má čtyři etapy (Ondrák, Sedlák, Mazálek, 2013):
▪ ustavení ISMS (určuje rozsah a odpovědnosti),
▪ zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření),
▪ monitorování a přezkoumání ISMS (zajištění zpětné vazby a hodnocení řízení),
▪ údržba a zlepšování (odstraňování slabin a soustavné zlepšování).
Obrázek 9: PDCA cyklus podle ISO 27000.
Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje
požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto
požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem
zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní
principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování
rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu
k řízení informační bezpečnosti a neustálé zlepšování ISMS.
Bezpečnost je důležitým a neoddělitelným prvkem provozování systémů a sítí, který nebývá vždy
brán v úvahu při návrhu a vývoji informačních systémů a je pokládán za technické řešení (ISO
27001, 2014). To je však omezující řešení a může být neúčinné, pokud není podporováno vhodným
systémem ISMS. Přijetí systému ISMS by mělo být strategickým rozhodnutím a je nezbytné, aby
rozhodnutí bylo snadno integrováno, měřeno a aktualizováno v souladu s potřebami organizace.
Při implementaci ISMS je třeba brát v úvahu strukturu, velikost, požadavky na bezpečnost,
procesy, cíle a potřeby organizace a musí odrážet zájmy všech zúčastněných stran, jakými jsou
zákazníci, dodavatelé, partneři a stakeholdeři (ISO 27001, 2014).
Pokud je systém řízení informační bezpečnosti správně zavedený a zásady bezpečnosti jsou
dodržovány, poskytuje tyto přínosy (Tobolka, 2012):
▪ zabezpečení informací je integrální částí celého systému řízení organizace,
▪ hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou
v řízeném režimu,
▪ zaměstnanci jsou odpovědni za zabezpečení informací svých pracovišť i dat svých
zákazníků,
▪ požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů,
▪ prokázání přístupu k managementu bezpečnosti informací, a to i v komunikaci se
zákazníky, investory, občanskou veřejností, státními i soukromými institucemi a dalšími
zainteresovanými stranami,
▪ zprůhlednění důsledků incidentů a jejich snížení, odhalování rizik, neshod a incidentů
s nežádoucími dopady na důvěrnost, integritu a dostupnost informací a tím i na chod
organizace,
▪ zvýšení podnikatelské důvěryhodnosti pro investory, banky a pojišťovny,
▪ úspora na pokutách a jiných sankcích, spojených s únikem informací