logo
Podpora business procesů ze strany IT

Řízení informační bezpečnosti

ISMS (Information Security Management System) je osvědčený a standardizovaný způsob zajištění a řízení informační bezpečnosti. Při jeho návrhu a implementaci vycházíme především z norem rodiny ISO/IEC 27000.

V případě požadavku klienta je systém stavěn jako kompatibilní s řízením jakosti dle ISO 9001, řízením životního prostředí dle ISO 14001 a směrnicemi OECD. Tento postup umožňuje integraci a sdílení společných zdrojů, principů a nástrojů ostatních normalizovaných procesních postupů, a tím snížení nákladů na zavedení a provoz systému.

Systém je budován jako součást celkového systému řízení organizace se zdůrazněním ochrany informací jako cenného aktiva.

Základní části systému řízení informační bezpečnosti:
dot ČSN ISO/IEC 27001 - procesní přístup ISMS na základě cyklu "Plánuj - Dělej - Kontroluj - Jednej";
dot ČSN ISO/IEC 27002 - doporučená bezpečnostní opatření.

Hlavním přínosem zavedení ISMS je efektivní řízení bezpečnosti, tj. řízení nákladů s ohledem na bezpečnostní rizika, které zároveň zajišťuje účelné vynakládání prostředků (např. je málo efektivní zlepšovat opatření proti externímu průniku, když většina bezpečnostních incidentů s vysokou pravděpodobností škody pochází od uživatelů interních systémů).

Pro vedení společnosti je transparentnost fungování IT nezbytným podkladem kvalitního řízení. Řízení bezpečnosti pomocí jasných pravidel a transparentnost životního cyklu informace podporují efektivní rozhodování manažerů.

Zavedení systému řízení informační bezpečnosti založeného na uznávaných standardech umožňuje organizaci naplňování vnitřní politiky v oblastech kvality služeb, spokojenosti zákazníků, kompetentního managementu a řízení společnosti.

Implementace systému řízení informační bezpečnosti probíhá v následujících fázích:

Fáze plánování

dot Projekt bezpečnosti a Bezpečnostní politika - vymezení rozsahu, zásady a pravidla na úrovni cílů, organizační struktura bezpečnosti (definování rolí).
dot Analýza rizik - přehled o hrozbách, pravděpodobnosti jejich uskutečnění a možných dopadech na organizaci (škody, omezení provozu, …).
dot Plán implementace a Prohlášení o aplikovatelnosti - výběr bezpečnostních opatření na základě analýzy rizik, dokumentace rozhodnutí.

Fáze realizace

dot Způsob implementace opatření a metody prosazení;
dot Bezpečnostní dokumentace (směrnice, postupy, návody, …);
dot Program zvyšování bezpečnostního povědomí;
dot Způsob zvládání rizik za provozu;
dot Nároky na provoz opatření a zajištění bezpečnosti;
dot Zavedení opatření DRP (Disaster Recovery Planning - tvorba a údržba havarijních plánů) a IRP (Incident Response Handling - zpracování bezpečnostních incidentů).

Fáze vyhodnocení

dot Monitoring provozu informačních systémů;
dot Testování funkčnosti opatření;
dot Audit a kontrola bezpečnostních opatření;
dot Revize adekvátnosti a efektivnosti ISMS.

Zpětná vazba

dot Vyhodnocení kroku „Kontroluj“;
dot Identifikace a analýza neshod;
dot Náprava a preventivní opatření.