ISMS
Informační bezpečnost je dnes již nezbytnou součástí každého informačního systému v každé organizaci. Jedná se o důležitou součást fungování podniku i státní sféry a její organizace se stává integrální součástí strategie každé složky. Organizace informační bezpečnosti se řídí systémem pro řízení informační bezpečnosti (ve zkratce ISMS z anglického Information Security Management System).
ISMS je systém ve své struktuře určený normou ISO 27001. Ta poskytuje model ustavení, implementování, zpracovávání, monitorování, přezkoumávání, udržování a zlepšování ochrany informačních aktiv, aby byly dosaženy cíle organizace na základě posouzení rizik a úrovní akceptace rizik organizace navržených k efektivnímu ošetření a řízení rizik ztráty či poškození informace.[1]
Hlavním úkolem ISMS je provádět vhodná opatření za účelem potlačení či minimalizace hrozeb informační bezpečnosti. Opatření jsou závislá na velikosti organizace a počtem aktivit, jež vykonává, přičemž se bere ohled na reálnou rizikovost aktivit organizace. Tato rizikovost je odvislá od toho, v jaké míře organizace zpracovává osobní či důvěrné údaje. Komplexní řešení informační bezpečnosti se týká především velkých organizací jako jsou banky, zdravotnické instituce a státní orgány.
==Vývoj rámce ISMS==[2]:
- Vymezení působnosti ISMS
- definice bezpečnostní politiky
- hodnocení rizika (jako součást Risk Management)
- management řízení rizik
- výběr vhodných opatření
- prohlášení o aplikovatelnosti
Model ISMS
ISMS je stejně jako jiné systémy řízení veden ve čtyřech krocích PDCA (Plánuj – Dělej – Kontroluj – Jednej). V případě ISMS jsou tyto kroky:
- Ustanovení
- Zavádění a provoz
- Monitoring
- Údržba a zlepšování
Ustanovení ISMS
Během ustanovení jsou vybrány vhodné formy řešení bezpečnosti informací. V této fázi probíhá analýza rizik.
- definice rozsahu, hranic a vazeb ISMS
- definice a odsouhlasení Prohlášení o politice ISMS
- analýza a zvládání rizik
- definice přístupu organizace k hodnocení rizik
- identifikace rizika včetně určení aktiv a jejich vlastníků
- analýza a vyhodnocení rizik
- identifikace a ohodnocení variant pro zvládání rizik
- výběr cílů opatření a jednotlivých opatření pro zvládání rizik
- souhlas vedení organizace s navrhovanými zbytkovými riziky a se zavedením ISMS
- příprava Prohlášení o aplikovatelnosti
Tato etapa je klíčová pro běh celého procesu, je nutné vybrat způsob, jakým se budou řešit rizika. Riziku je možné se vyhnout (vyřešením bezpečnostní mezery), přenést jej (např. pojištěním) nebo jej akceptovat.
Zavedení a provoz
- ↑ ISO 27001 Online. ISO 27001 Security. [online].[Cit. 2008-01-20] Dostupné online: http://www.27001-online.com/
- ↑ NOVÁK, Luděk; POŽÁR, Josef. Systém řízení informační bezpečnosti. In Pracovní příručka bezpečnostního manažera. 1. vydání. Praha: Policejní akademie ČR v Praze a Česká pobočka AFCEA, 2011, s. 104. ISBN: 978-80-7251-364-2.