Systém řízení bezpečnosti informací
Systém řízení bezpečnosti informací (Information Security Management System - ISMS) je dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována. Pojem primárně zavedla norma ISO/IEC 17799 (mezinárodní norma převzatá z Britského standardu BS 7799-1:1999), publikovaná Mezinárodní organizací pro normalizaci (ISO) v roce 2000. Novější revidovaná verze je součástí nové řady norem týkající se bezpečnosti informací ISO 27000.
Úvod
ISMS je efektivní dokumentovaný systém řízení a správy informačních aktiv s cílem eliminovat jejich možnou ztrátu nebo poškození tím, že:
jsou určena aktiva, která se mají chránit
jsou zvolena a řízena možná rizika bezpečnosti informací
jsou zavedena opatření s požadovanou úrovní záruk a ta jsou kontrolována.
ISMS může být zaveden pro organizační složku společnosti, informační systém nebo jeho část, případně může zahrnovat celou organizaci. Zavedení systému řízení bezpečnosti informací (ISMS) je strategickým rozhodnutím vedení společnosti. Tento systém začínají hojně využívat všechny organizace bez ohledu na velikost či obor činnosti, pro které jsou informace a informační technologie klíčovou součástí podnikatelských procesů, nebo které spravují citlivá data svých klientů a mají potřebu efektivně a komplexně zajistit jejich bezpečnost.
Certifikace
Při zavádění systému řízení bezpečnosti informací v organizaci se postupuje podle normy ISO/IEC 27001, která poskytuje doporučení, jak ze souboru doporučených nejlepších postupů, které uvádí norma ISO/IEC 27002 (původně ISO/IEC 17799), případná certifikace se pak provádí podle normy ISO/IEC 27001.
Přínosy zavedení a certifikace ISMS
Přechod od nesystémového a neuceleného řízení bezpečnosti k bezpečnosti řízené a komplexní
Efektivní řízení investic vkládaných do bezpečnosti
Inventura vlastních aktiv, jejich ocenění a klasifikace
Řízené odstranění nebo snížení rizik v oblasti informačních systémů
Zavedení systémového a systematického přístupu při používání IT/IS
Zvýšení povědomí a odpovědnosti zaměstnanců při práci s informacemi
Naplnění legislativních požadavků
Zvýšení důvěryhodnosti pro partnery
Trvalé monitorování a zlepšování systému řízení bezpečnosti informací (ISMS)
Konkurenční výhoda, kultivace Image a firemní kultury