ISMS tajemství zbavený

Information Security Management System zkr. ISMS, do češtiny nejčastěji překládaný jako Systém řízení bezpečnosti informací nebo také Systém řízení informační bezpečnosti, není nic nového.

Když se podíváte do  BS-7799 z roku 1995, tak zjistíte, že už tenkrát se v tomto standardu objevil pojem systém řízení informační bezpečnosti. Tehdy tomuto pojmu však nikdo nepřikládal nějaký zvláštní význam, a teprve časem se z něho stal tak trochu buzzword. Obzvlášť poté, co byl vydán standard ISO/IEC 27001:2005, který definuje požadavky na systém řízení bezpečnosti informací a ISO/IEC 27002:2005, který obsahuje soubor konkrétních bezpečnostní opatření, tzv. nejlepších postupů (best practice), které by měly být zavedeny.

Poznámka: Stručných přehled a popis těch nejdůležitějších bezpečnostních standardů, jejich vývoj a rovněž i vztah mezi nimi je zachycen zde.

Cílem ISMS je ochrana informací, jež zpravidla patří mezi ta nejcennější aktiva, která společnost vlastní, před narušením důvěrnosti, integrity nebo dostupnosti a to během celého jejich životního cyklu. Nemůžete si však myslet, že ISMS jednoduše zavedete a tím vaše práce končí. Systém řízení bezpečnosti informací je třeba vnímat jako kontinuální proces, který by měl být průběžně vylepšován.

Toho lze dosáhnout tak, že jednotlivé činnosti v rámci každého procesu budou popsány a odpovědnosti jednotlivých osob budou zachyceny v RACI tabulkách a na každý proces bude aplikován PDCA model. Ovšem pozor, vždy mějte na paměti, že cílem ISMS je ochrana informačních aktiv a zavedení a zlepšování procesů je jen prostředkem k dosažení tohoto cíle.

Ustavení ISMS (Plan)

  • Stanovit rozsah a hranice ISMS, musí být jasně řečeno, kde bude zaváděno
  • Definovat metodiku hodnocení rizik, která zajistí porovnatelné a reprodukovatelné výsledky
  • provést analýzu rizik, identifikovat a kvantifikovat aktiva, hrozby, zranitelnosti a výsledné riziko
  • zvolit vhodný způsob zvládání rizik, a na základě cost-benefit analýzy vybrat vhodná bezpečnostní opatření a určit jakým způsobem bude měřena účinnost těchto opatření.
  • Získat souhlas vedení organizace se způsobem zvládání jednotlivých rizik a implementací vybraných opatření, která jsou uvedená v příloze A tohoto standardu.
  • Formulovat plán zvládání rizik, který bude vycházet ze souhlasu vedení organizace.
  • Zavést bezpečnostní opatření, která byla vybrána za účelem snížení rizika na přijatelnou úroveň.
  • Zpracovat bezpečnostní politiku, standardy a směrnice, které budou vycházet z identifikovaných rizik, vybraných opatření a cílů organizace.
  • Zvyšovat bezpečnostní povědomí formou kurzů, školení a šíření osvěty.
  • Monitorovat a vyhodnocovat funkčnost zavedených opatření a navrhovat kroky vedoucí k dalšímu zlepšení.
  • V pravidelných intervalech opakovat analýzu rizik, protože mohlo dojít k jakékoliv změně.
  • Provádět interní audity
  • Zavádět nová a účinnější opatření na základě analýzy rizik, interních auditů a měření účinnosti jednotlivých opatření
  • Aktualizovat a optimalizovat jednotlivé postupy a související dokumenty.

Zavedení ISMS (Do)

  • Formulovat plán zvládání rizik, který bude vycházet ze souhlasu vedení organizace.
  • Zavést bezpečnostní opatření, která byla vybrána za účelem snížení rizika na přijatelnou úroveň.
  • Zpracovat bezpečnostní politiku, standardy a směrnice, které budou vycházet z identifikovaných rizik, vybraných opatření a cílů organizace.
  • Zvyšovat bezpečnostní povědomí formou kurzů, školení a šíření osvěty.

Monitorování a přezkoumání ISMS (Check)

  • Monitorovat a vyhodnocovat funkčnost zavedených opatření a navrhovat kroky vedoucí k dalšímu zlepšení.
  • V pravidelných intervalech opakovat analýzu rizik, protože mohlo dojít k jakékoliv změně.
  • Provádět interní audity

Udržování a zlepšování ISMS (Act)

  • Zavádět nová a účinnější opatření na základě analýzy rizik, interních auditů a měření účinnosti jednotlivých opatření
  • Aktualizovat a optimalizovat jednotlivé postupy a související dokumenty.

V příloze A normy ISO/IEC 27001:2005 o rozsahu 34 stran je uvedeno 11 oblastí a 133 opatření. Doporučení, jak jednotlivá opatření zavést, je pak detailně popsáno v ISO/IEC 27002:2005 o rozsahu 115 stran ve stejně číslovaných kapitolách. Jedná se o následujících 11 oblastí (v závorce je uveden počet opatření):

  • Bezpečnostní politika (2)
  • Organizace bezpečnosti (11)
  • Klasifikace řízení aktiv (5)
  • Bezpečnost lidských zdrojů (9)
  • Fyzická bezpečnost a bezpečnost prostředí (13)
  • Řízení komunikací a řízení provozu (32)
  • Řízení přístupu (25)
  • Nákup, vývoj a údržba informačního systému (16)
  • Zvládání bezpečnostních incidentů (5)
  • Řízení kontinuity činnosti organizace (5)
  • Soulad s požadavky (10)

Závěr: ISO/IEC 27001 a 27002 jsou standardy, které by měly umožnit společnosti dosáhnout požadované úrovně bezpečnosti a ochránit tak její informační aktiva. K tomu je zapotřebí podpora vedení společnosti a vyčlenění odpovídajících prostředků na realizaci jednotlivých kroků.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. admin

    Vzhledem k tomu, že zavedení ISMS nějakou dobu trvá, je vhodné nějaká základní bezpečnostní pravidla vynutit hned.


K článku “ISMS tajemství zbavený” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: