Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.
V dnešnej dobe plnej informácií a dát si každý uvedomuje ich dôležitosť. Málokto však dáta a informácie s ktorými dennodenne prichádza do styku aj náležite chráni a spravuje. Na systémové zabezpečenie a správu dát sa javí ako vhodný nástroj zavedenie systému manažérstva bezpečnosti informácií v súlade s veľmi populárnou normou v tejto oblasti ISO/IEC 27001:2005.
Čo sú informácie a informačné aktíva?
Informačné aktíva sú hodnotou, ktorá je rozhodujúca pre úspešné podnikanie. „Hodnota Informácií“ je definovateľný údaj. Ako príklad hodnotných informácií sú napríklad: plány nových produktov, ktorými chceme súperiť s konkurenciou.
Čo je to informačná bezpečnosť?
Informačná bezpečnosť znamená ochranu informácií a informačných systémov pred neoprávneným prístupom, využívaním, odhalením, zmenou alebo zničením. Za viac ako dvadsať rokov informačná bezpečnosť zahŕňa a poskytuje 3 hlavné princípy: dôvernosť, integritu a dostupnosť (v angličtine známu ako trojica CIA – Confidentiality, Integrity, Availability).
Dôvernosť – informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám, alebo procesom
Integrita – zabezpečenie presnosti a úplnosti aktív
Dostupnosť – schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity
Čo je Systém manažérstva informačnej bezpečnosti? (SMIB) (Information security management system ISMS)
Kľúčovým konceptom SMIB (ISMS) pre organizácie je navrhnúť, zaviesť a udržiavať súvislú sadu procesov a systémov pre efektívne riadenie informačnej bezpečnosti.
Rovnako ako u všetkých procesov riadenia, musí aj SMIB (ISMS) zostať efektívny a účinný v dlhodobom horizonte, prispôsobovať sa zmenám vo vnútri organizácie a aj vplyvom vonkajšieho prostredia. ISO/IEC 27001 obsahuje známy Demingov cyklus „Plan-Do-Check-Act“ (PDCA), ktorý si vyžaduje prístup k neustálemu zlepšovaniu:
fáza Plan (Plánuj) je návrh SMIB(ISMS), hodnotenie rizika bezpečnosti informácií a výber vhodného riadenia
fáza Do (Urob) zahŕňa implementáciu a prevádzku SMIB(ISMS)
fáza Check (Overuj) si kladie za cieľ preskúmať a posúdiť výkonnosť (efektívnosť a účinnosť) SMIB (ISMS)
fáza Act (Konaj) vykonáva zmeny s cieľom dosiahnuť trvalé zlepšovanie (SMIB) ISMS
Čo môže norma ISO/IEC 27001 ponúknuť?
ISO/IEC 27001 je uznávanou a veľmi populárnou normou pre oblasť riadenia rizík v oblasti bezpečnosti informácií. Posúdenie informačnej bezpečnosti čoraz viac využívajú zákazníci súkromného a verejného sektora.
Byť certifikovaný podľa normy ISO/IEC 27001 vám pomôže spravovať a chrániť vaše cenné informačné aktíva. Pomôže vám dodať dôvernosť pre všetky zainteresované strany, najmä vašim zákazníkom. Norma prijíma procesný prístup k tvorbe, zavádzaniu, prevádzke, monitorovaniu, preskúmaniu, udržiavaniu a zlepšovaniu vášho SMIB (ISMS).
Pre koho to je?
„. . . takmer 90% zo spoločností, ktoré prijali ISO 27001 uviedli, že formálna certifikácia zlepšila ich zachovanie kontinuity prevádzky, 85% uviedlo, že sa minimalizovali škody z bezpečnostných udalostí, a 53% uviedlo, že viedlo k vyššej návratnosti investícií. . . „- Computer Weekly
Zavedenie a nárast využívania nových technológií zákazníkmi a ich zamestnancami zvýšilo vplyv na bezpečnosť a poskytovanie služieb pre všetky organizácie bez ohľadu na typ alebo veľkosť.
Norma je vhodná najmä v prípade kde je rozhodujúca ochrana informácií, napríklad v oblasti financií, zdravotníctva, verejného sektora a IT sektora. ISO/IEC 27001 je veľmi účinné aj pre organizácie, ktoré spravujú informácie za iné spoločnosti, ako IT outsourcing: možno ho použiť ako ubezpečenie pre zákazníkov, že ich informácie sú chránené.
Prínosy zavedenia a certifikácie podľa normy ISO/IEC 27001:
Prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti, môže byť rozhodujúca pre definovanie hodnôt.
Zlepšuje porozumenie obchodných aspektov, dáva vám istotu, že investície do bezpečnosti informácií boli nasmerované efektívne.
Nezávisle potvrdzuje, že vaše organizačné riziká sú náležite označené prostredníctvom posudzovania obchodných rizík.
Pravidelné hodnotenie procesov pomôže zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje výkon
Najviac zo všetkého: vám prináša dôvernosť, motivuje vedenie a tiež môžete podporiť bezpečnosť smerom k vašim zákazníkom
Ako to zrealizovať a byť certifikovaný?
Certifikácia podľa ISO/IEC 27001, rovnako ako ostatné certifikácie manažérskych systémov sa uskutočňuje v troch základných krokoch počas trojročného obdobia:
etapa je predbežné, neformálne hodnotenie ISMS, napríklad kontrola existencie a úplnosť kľúčových dokumentov, ako je Dokument politiky informačnej bezpečnosti organizácie, Vyhlásenie o aplikovateľnosti, Scope Statement rozsah údajov, Preskúmavanie rizík a Business Continuity Plan. Táto fáza slúži na zoznámenie sa audítorov s organizáciou a naopak.
etapa je podrobnejšia a formálnejšia v zmysle auditu, je to sám Certifikačný audit. Tento proces znamená, nezávislé porovnanie SMIB (ISMS) s požiadavkami uvedenými v norme ISO/IEC 27001. Audítori sa budú usilovať hľadať dôkazy, ktoré potvrdzujú, že systém riadenia bol riadne navrhnutý a implementovaný.
etapa zahŕňa zvyčajne dva dohľadové audity, aby potvrdili, že organizácia zostáva v súlade s normou. Udržiavanie SMIB (ISMS) vyžaduje pravidelné dohľadové audity, ktoré potvrdia, že SMIB (ISMS) naďalej funguje, ako je uvedené, a ako je určené.
Zdroj: Vincotte, Ing. Marek Dandár Ph.D. (marek.dandar@vincotte.sk); Ing. Pavol Hudák
