Implementace ISMS - ISO 27001

Implementace systému řízení informační bezpečnosti

In-formatio, neboli informace  - v původním významu označuje akt utváření, vtištění tvaru či formy, ale také utváření mysli - tedy učení či vzdělávání. Odtud už je malý krůček k dnes běžně používanému významu informace jako vědění, které lze předávat.

Moderní, informační společnost, ve které dnes žijeme, je založena na získávání, šíření a využívání informací. Informace se tudíž stávají velmi cenným zbožím, které je předmětem zájmu, obchodu, konkurenční výhodou, ale na druhé straně i spekulací či ohrožení ze strany nejen lidí samotných, ale též jimi vytvořených, někdy nedokonale fungujících technologií. Navíc je ve hře i příroda se svými faktory, které člověk není schopen ovlivnit, mnohdy ani správně předpovídat. Ochrana informací je proto důležitým předpokladem pro úspěšné fungování každé moderní společnosti.

Cíle implementace systému řízení informační bezpečnosti

Pokud jste zaznamenali či právě řešíte potíže s rostoucím počtem závad či nefunkčností IT služeb, úniky či ztrátu cenných dat, problémy způsobené chybami personálu - tedy obecně řečeno bezpečnostní incidenty, možná jste dospěli k rozhodnutí řešit bezpečnost vašich informací komplexně. Potom jste jistě stanuli před obdobnými otázkami:

• jak (s přiměřenými náklady) docílit pokrytí všech oblastí, kterými je nutno se při ochraně informací zabývat - od fyzické bezpečnosti přes personální a legislativní, k bezpečnosti IT technologií, řízení přístupu k informacím atd.
• jak udržet jednou vybudovaný koncept dlouhodobě funkční, nejlépe za snižujících se nákladů a s rostoucí účinností - problémy typicky začínají již s údržbou dokumentace postupů a pravidel tak, aby odrážela reálný provozní stav, dalším problémem je pouhé změření stavu, ve kterém se nalézáte při svém postupu
• jak vše řešit v rozumné hloubce a v reálném čase - vaše prostředí (koneckonců i celý svět) je z principu dynamickou záležitostí, tudíž je potřeba reagovat na změny rychle a bez zbytečných nákladů

Stručně shrnuto, ke zvládnutí výše uvedených potřeb je třeba nějakého mechanismu, který je schopen řídit provoz velmi složitého celku (všechny IT i ostatní zdroje, v prvé řadě však ty lidské) dlouhodobě, podle předem stanovené koncepce a pravidel, navíc efektivně (tedy s co nejnižšími náklady) a dlouhodobě (tedy se schopností přizpůsobování se okolnímu světu i změnám uvnitř společnosti).

K výše uvedeným účelům se dnes využívá více či méně propracovaných systémů řízení, pro ochranu informací pak tyto systémy mají následující atributy:

• jsou založeny na přístupu vyhodnocování rizik
• mají komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti
• umí zajistit systematickou prevenci vzniku incidentů
• mají spolehlivé vnitřní kontrolní mechanizmy
• stanovují vymahatelná pravidla a povinnosti pro všechny zainteresované strany

Vhodným řešením je postup podle některého bezpečnostního standardu. Tím je možné dosáhnout nejen zmíněnou komplexnost a efektivnost, ale také vytvořit dobrý základ pro pravidelný bezpečnostní audit či případnou budoucí certifikaci.

Na základě našich praktických zkušeností v oblasti bezpečnosti a na základě znalostí specifik českého a slovenského prostředí se nám jako vhodná alternativa jeví využití systému řízení informační bezpečnosti, neboli ISMS (Information Security Management System) definovaného pomocí mezinárodního standardu ISO/IEC 27001.

V souladu s ním nabízíme vytvoření kvalitního systému řízení bezpečnosti informací – optimálně a přesně podle vašich potřeb.