Systém správy a řízení informační bezpečnosti: governance není totéž co management

Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.

Ano, nad managementem bezpečnosti stojí ještě governance vrstva. ISO/IEC 27014 výslovně pracuje s logikou, v níž organizace informační bezpečnost vyhodnocuje, usměrňuje, monitoruje a komunikuje. ISO navíc uvádí, že jde o klíčový doplněk k ISO/IEC 27001, protože governance aktivity jsou do fungování ISMS přímo vnořeny. Zjednodušeně řečeno:

• ISG dává rámec, priority, omezení a zadání do ISM.
• ISM vrací do ISG zprávy o skutečném stavu bezpečnosti.

Jinými slovy, ISM reportuje do ISG a ISG dává ISM rámec a úkoly. Právě proto dává smysl mluvit o dvou cyklech. Norma ISO/IEC 27001 definuje požadavky na systém managementu informační bezpečnosti (ISMS) a popisuje jeho zavedení, udržování a průběžné zlepšování.

V odborné praxi je tento systém řízení tradičně vykládán pomocí logiky PDCA. Jenže PDCA dobře zachycuje pohyb uvnitř systému, nikoli to, co dělá vrcholové vedení: tedy stanovení směru, dohledu, komunikačních pravidel a požadavků na nezávislé ujištění. Právě proto se nad ISMS objevuje ještě jeden cyklus vrcholového usměrňování.

Co přesně znamená governance a co management

Překlad pojmů je zde ošemetný. Governance se běžně překládá jako správa, ale tento překlad je jen přibližný. V češtině totiž slovo správa často evokuje provoz, administrativu nebo technickou obsluhu. V tomto případě jde však o něco jiného: o vrcholové usměrňování, dohled a odpovědnost.

Naproti tomu management se překládá jako řízení, což zde sedí lépe. Jde o praktické plánování, zavádění, provozování, kontrolu a zlepšování bezpečnostních opatření a procesů.

Ve slovenské technické normalizaci se systematicky používá výraz „manažérstvo“, nikoli „management“ ani „řízení“. Proč právě „manažérstvo“? Slovenská technická normalizace při přebírání norem ISO/IEC důsledně uplatňuje pravidla slovenské odborné terminologie, která vycházejí ze Slovenského národního korpusu a jazykových doporučení Jazykovědného ústavu Ľ. Štúra SAV.

Klíčový rozdíl oproti češtině:

• Angličtina: management –  substantívum od slovesa to manage
• Čeština: management – cizí slovo převzato bez úpravy
• Slovenčina: manažérstvo –  domácí derivát pomocí slovenského sufixu

Sufixérství je produktivní slovenský slovotvorný formant, který tvoří abstraktní podstatná jména označující činnost, stav nebo obor — analogicky jako:

• inžinier → inžinierstvo
• pionier → pionierstvo
• manažér → manažérstvo

Kořen slova tedy byl nejprve adaptován na slovenský fonetický systém (manage → manažer s typickou slovenskou příponou -ér pro anglická/francouzská slova na -er/-eur), az něj se pak odvodilo abstraktum manažerství. Výraz „řízení“ byl odepřen, protože je příliš široký — zahrnuje i technické řízení (control), nejen organizačně-procesní management.

Výraz „management“ byl odepřen jako necitovaný cizojazyčný výraz — slovenská normalizace trvá na tom, aby názvy norem byly v plnohodnotné slovenčině, nikoli v angličtině.

Výraz „manažerství“ byl zvolen, protože:

1. je to plnohodnotné slovenské slovo se správnou morfologií,
2. jednoznačně odkazuje na mezinárodní koncept management bez terminologické záměny s control/řízení,
3. je tvořen podle produktivních slovenských slovotvorných vzorů,
4. umožňuje přirozenou skloňovatelnost a odvozování (manažerství, managementu, manažerskému…).

Výraz manažerství zde tedy není překladatelský rozmar, ale výsledek vědomého terminologického rozhodnutí slovenské normalizace – udržet jazykovou čistotu slovenštiny a zároveň zachovat jednoznačné mezinárodní terminologické zakotvení.

Český normalizační institut (ČNI) vydal již v roce 2006 první český překlad normy pod názvem ČSN ISO/IEC 27001:2006 – Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky. Již zde ČNI zvolil termín „management“ (nikoli „řízení“), čímž nastavil terminologickou linii pro všechna další vydání.

Aktuálně platná norma vydaná Českou agenturou pro standardizaci (ČAS) v roce 2023 nese název ČSN EN ISO/IEC 27001 – Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky. Za pozornost stojí důležitý posun v názvu oproti předchozím vydáním — zatímco dříve se používalo označení „Systémy managementu bezpečnosti informací“, aktuální vydání z roku 2023 pracuje s formulací „Systémy managementu informační bezpečnosti“. Změna slovosledu odráží úpravu v samotném mezinárodním originálu a posun důrazu na „informační bezpečnost“ jako samostatný obor.

Na Slovensku je situace v překladu pojmu governance poněkud odlišná. Technická komise Úřadu pro normalizaci, metrologii a zkušebnictví Slovenské republiky (ÚNMS SR) stále vede diskusi o vhodném překladu slova. Na stole se objevilo více návrhů, včetně převzetí a poslovenčení výrazu „governance“ do podoby „governancia“. Nejpravděpodobnější variantou se však jeví víceslovný překlad „strategické vedenie“. Případně „vedenie„. Výraz „správa“ je naopak považován za téměř nepřijatelný, mimo jiné i proto, že u části odborné veřejnosti vyvolává nevhodné historické konotace.

Když se tedy řekne správa a řízení informační bezpečnosti, je nutné dodat, že správa zde neznamená technickou správu serverů nebo účtů, ale governance na úrovni vedení, zatímco řízení znamená praktický management bezpečnosti v organizaci.

Vrcholové usměrňování, dohled a odpovědnost v oblasti ISG zůstávají neoddělitelnou součástí role statutárního vedení, které však zejména ve velkých organizacích typicky část svých pravomocí a odpovědností deleguje na mezioborové komise či pracovní skupiny na úrovni top managementu. Tyto orgány slouží jako platforma pro koordinaci, odborné posuzování a průběžný dohled nad řízením bezpečnosti a rizik napříč organizací, přičemž konečná odpovědnost nadále zůstává na statutárním orgánu.

Typickým příkladem z bankovního sektoru je ORC (Operational Risk Committee), kde „risk“ vystupuje jako substantivní přívlastek, nikoli hodnoticí přídavné jméno, a označuje tedy výbor pro řízení operačního rizika. Tento model umožňuje efektivní zapojení relevantních odborností při zachování jasné linie odpovědnosti a rozhodovací pravomoci na nejvyšší úrovni řízení.

Pět fází ISG: co se v nich dělá, kdo to dělá a proč

Governance cyklus lze popsat pěti fázemi: Evaluate, Direct, Monitor, Communicate a Assure. Jádro normy ISO/IEC 27014 je postaveno na evaluate, direct, monitor a communicate. Pátý prvek, tedy Assure, se v praxi používá jako logické doplnění governance o nezávislé ujištění, protože vedení nemá stát jen na interním sebeujišťování.

1. Evaluate

Ve fázi Evaluate vrcholové vedení vyhodnocuje, zda je bezpečnost přiměřená cílům organizace, jejím rizikům a regulatorním požadavkům. Tady se neřeší technické detaily firewallu ani syntaxe SIEM pravidel. Tady se řeší, zda je organizace vystavena přijatelnému, nebo nepřijatelnému riziku.

Co se zde dělá:

• posuzuje se stav rizik a jejich trend,
• vyhodnocují se významné incidenty a jejich dopady,
• hodnotí se účinnost dosavadních opatření,
• porovnává se skutečný stav s očekáváním vedení.

Kdo to dělá:

• představenstvo,
• jednatel nebo CEO,
• výbor pro rizika nebo audit,
• top management s podklady od CISO, risk managera, compliance a interního auditu.

Proč se to dělá:
Protože bezpečnost nelze jednou schválit a pak na ni zapomenout. Rizika se mění, technologie se mění, hrozby se mění a stejně tak se mění i to, co je pro organizaci ještě přijatelné.

Konkrétní příklad:
Výroba je stále více závislá na vzdáleném přístupu dodavatelů. Vedení dostane zprávu, že počet privilegovaných účtů bez MFA je stále vysoký, že přibylo incidentů spojených s phishingem a že dvě kritické aplikace nemají dostatečné logování. Ve fázi Evaluate vedení neřeší, jak budou technici MFA zavádět. Řeší, zda je tento stav přijatelný, zda ohrožuje výrobu a zda je potřeba změnit priority.

2. Direct

Ve fázi Direct vrcholové vedení určuje směr. Tady governance opravdu vládne. Ne slovy, ale rozhodnutími.

Co se zde dělá:

• stanovuje se bezpečnostní politika a strategické cíle,
• určuje se rizikový apetit nebo hranice přijatelného rizika,
• schvalují se priority, rozpočet a alokace zdrojů,
• určují se odpovědnosti a pravomoci,
• zadávají se konkrétní úkoly výkonnému managementu.

Kdo to dělá:

• board,
• CEO,
• jednatelé,
• vrcholové vedení,
• někdy specializovaný bezpečnostní výbor nebo výbor pro řízení rizika.

Proč se to dělá:
Protože bez této fáze by bezpečnost zůstala jen aktivitou IT oddělení bez skutečné autority. Governance je okamžik, kdy vedení řekne, co je nepřijatelné, co musí být chráněno přednostně a kolik je organizace ochotna do ochrany investovat.

Konkrétní příklad:
Vedení rozhodne, že do dvanácti měsíců musí být zavedena MFA pro všechny privilegované účty, segmentace výrobní sítě a přísnější požadavky na dodavatele s remote access. Zároveň schválí rozpočet, určí odpovědnost CIO a CISO a stanoví, že výpadek výroby delší než osm hodin je nepřijatelný.

To je přesně okamžik, kdy ISG dává rámec a úkoly do ISM.

3. Monitor

Ve fázi Monitor vedení sleduje, zda se rozhodnutí skutečně plní a jaký je reálný stav bezpečnosti. Governance bez monitoringu je jen slavnostní prohlášení bez dohledu.

Co se zde dělá:

• sleduje se plnění uložených úkolů,
• sledují se významné metriky a ukazatele rizik,
• sledují se incidenty, neshody a zpoždění,
• kontroluje se, zda management skutečně realizuje schválený směr.

Kdo to dělá:

• vrcholové vedení,
• board,
• výbor pro audit nebo rizika,
• s podporou CISO, compliance, risk managementu a interního auditu.

Proč se to dělá:
Protože bez zpětné vazby by leadership jen předpokládal, že se věci dějí. A v bezpečnosti je předpoklad často jen jiný název pro průšvih, který zatím nikdo nepopsal.

Konkrétní příklad:
Board si každý měsíc nechává předkládat stav kritických zranitelností starších než 30 dnů, počet privilegovaných účtů bez MFA, stav projektu segmentace sítě, počet významných incidentů a průměrnou dobu reakce. Pokud je vše na dashboardu zelené, ale incidenty přibývají, není to důkaz bezpečnosti, ale důkaz, že dashboard možná měří nesmysly.

4. Communicate

Ve fázi Communicate nebo Report se informace o bezpečnosti dostávají správným směrem ke správným lidem. Bez této fáze se governance láme v komunikaci: vedení něco očekává, management něco dělá, ale informace po cestě vyšumí nebo se přikrášlí.

Co se zde dělá:

• management reportuje stav bezpečnosti směrem nahoru,
• vedení komunikuje priority a očekávání směrem dolů,
• nastavují se pravidla eskalace incidentů a problémů,
• zajišťuje se komunikace k auditorům, regulatorním orgánům, vlastníkům nebo zákazníkům, pokud je to nutné.

Kdo to dělá:

• CISO,
• vrcholové vedení,
• risk management,
• compliance,
• právní oddělení a PR při externí komunikaci,
• interní audit při formálních zprávách a zjištěních.

Proč se to dělá:
Protože bezpečnost selhává i tehdy, když informace netečou tam, kam mají. Neeskalovaný incident je pro vedení neviditelný incident. Nejasně komunikovaný směr je pro management pozvánka k improvizaci.

Konkrétní příklad:
Po závažném ransomwarovém incidentu musí management bezpečnosti dodat vedení jasnou zprávu: co se stalo, jaké jsou dopady, co už bylo provedeno, jaká rozhodnutí jsou potřeba a zda existují právní nebo reputační důsledky. Vedení pak rozhoduje, co se komunikuje vlastníkům, zákazníkům, regulatorním orgánům nebo veřejnosti.

Smyslem této fáze ale není bezhlavě zveřejňovat podrobné seznamy slabin a rizik. Smyslem je zajistit, aby se správné informace dostaly ke správným adresátům ve správný čas.

5. Assure

Fáze Assure znamená nezávislé ujištění, že management bezpečnosti opravdu funguje tak, jak tvrdí. Je to ochrana proti pohodlné iluzi, že „všechno máme pod kontrolou“, protože to tak stojí v interním reportu.

Co se zde dělá:

• provádí se interní audit,
• probíhá externí audit nebo certifikace,
• ověřuje se soulad s požadavky,
• testuje se účinnost procesů a opatření,
• vedení dostává nezávislý pohled na realitu.

Kdo to dělá:

• interní audit,
• externí auditor,
• compliance,
• někdy specializovaná třetí strana,
• v určitých otázkách i výbor pro audit nebo dozorčí orgány.

Proč se to dělá:
Protože governance nemá stát jen na tom, co o sobě management tvrdí. Potřebuje také důkaz, že procesy skutečně fungují, že kontroly nejsou jen papírové a že reportovaný stav odpovídá realitě.

Konkrétní příklad:
CISO tvrdí, že proces odnímání přístupů bývalým zaměstnancům funguje bez problémů. Interní audit ale zjistí, že několik bývalých pracovníků má stále aktivní účty v podpůrných systémech a že recertifikace oprávnění proběhla jen formálně. To je přesně role Assure: dodat vedení důvod věřit pouze tomu, co obstálo při ověření.

Jak oba cykly fungují dohromady

Nejpřesnější je představit si to jako dvě navázané smyčky.

Nahoře běží ISG:
Evaluate → Direct → Monitor → Communicate → Assure

Dole běží ISM:
plánování, zavádění opatření, provoz procesů, řízení rizik, incident management, interní kontroly, nápravná opatření a zlepšování.

Vztah mezi nimi je obousměrný:

• ISG → ISM: politika, priority, rozpočet, zadání, limity, odpovědnosti, tolerance rizika
• ISM → ISG: reporty, incidenty, trendy, metriky, neshody, zbytková rizika, návrhy opatření a eskalace problémů

V organizaci běží dva propojené cykly. Jeden usměrňuje. Druhý realizuje.

Proč se někdy mluví jen o třech fázích

Někdy se celý model zjednodušuje na trojici Direct – Execute – Control. To není jiný standard, ale didaktická komprese.

• Direct odpovídá governance zadání.
• Execute odpovídá praktické činnosti managementu bezpečnosti.
• Control v sobě slučuje monitorování, vyhodnocení, reporting a často i prvek assurance.

Třífázový model je přehlednější. Pětifázový je přesnější. Ukazuje totiž, že sledování, vyhodnocení, komunikace a nezávislé ujištění nejsou totéž, i když se v praxi často slévají do jednoho manažerského bloku.

Rámec COBIT jako příklad dobré praxe

Najlepší praxe v oblasti řízení informačních technologií a kybernetické bezpečnosti není promítnuta pouze v závazných právních předpisech nebo mezinárodních technických normách. Významnou roli hrají i nezávazné metodické rámce (frameworky), které organizacím poskytují ucelený pohled na řízení IT, rizik a bezpečnosti.

Mezi nejrozšířenější a nejrespektovanější patří rámec COBIT (Control Objectives for Information and Related Technologies), který je považován za globální standard pro governance a management IT, přičemž označení „COBIT“ představuje ochrannou známku ve vlastnictví ISACA.

Rámec COBIT představuje komplexní, principy řízený přístup k řízení a správě IT; jeho podrobnějšímu rozboru a praktickým aspektům využití se budeme věnovat v samostatných článcích.

Klíčovým přínosem COBIT je jeho systematické rozlišení mezi:

• governance  – které určuje směřování, hodnotí potřeby a dohlíží na výsledky,
• managementem  – který zajišťuje plánování, implementaci a provoz IT procesů.

Tento přístup je realizován prostřednictvím procesního modelu, který zahrnuje domény:

• Evaluate, Direct and Monitor (EDM) na úrovni řízení,
• Align, Plan and Organise (APO) ,
• Build, Acquire and Implement (BAI) ,
• Deliver, Service and Support (DSS) ,
• Monitor, Evaluate and Assess (MEA) na úrovni managementu.

COBIT tak představuje ucelený referenční model, který propojuje byznysové požadavky s IT procesy a poskytuje organizacím společný jazyk, kontrolní cíle a metriky výkonnosti.

Z uvedeného vyplývá, že COBIT představuje typický příklad dobré praxe, která doplňuje formální normativní požadavky a pomáhá organizacím systematicky budovat a řídit oblast IT governance a kybernetické bezpečnosti.

Závěr

Správa a řízení informační bezpečnosti nejsou synonyma. Přesnější je chápat je jako dvě propojené smyčky. Na úrovni vrcholového vedení běží governance cyklus ISG, v jehož rámci se bezpečnost vyhodnocuje, usměrňuje, monitoruje, komunikuje a nechává nezávisle ověřovat. Na úrovni výkonného řízení pak běží managementový cyklus ISM, typicky realizovaný jako ISMS podle ISO/IEC 27001. Řečeno bez příkras: PDCA popisuje, jak bezpečnost řídit. Evaluate–Direct–Monitor–Communicate–Assure popisuje, jak na ni má dohlížet vedení.

LITERATURA

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27014:2020 Information security, cybersecurity and privacy protection — Governance of information security. Geneva: ISO, 2020. Online. Dostupné z: https://www.iso.org/standard/74046.html. [cit. 2026-03-08].

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Geneva: ISO, 2022. Online. Dostupné z: https://www.iso.org/standard/27001. [cit. 2026-03-08].

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!