Systém informačne bezpečnosti podľa ISO/IEC 27001 je časť celkového systému riadenia, založená na prístupe k riziku podniku, ktorej úlohou je zaviesť, implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť .
Vo svete je budovanie a certifikácia systémov informačnej bezpečnosti podľa ISO/IEC 27001 bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností.
Informačná bezpečnosť je viac ako informačne technológie. Systém manažérstva informačnej bezpečnosti umožni organizácii primerane zaobchádzať so svojimi informáciami a chrániť ich pred neželateľným unikom.
V čase prudkého rozmachu technických riešení na mieru ušitých požiadavkám na zjednodušenie a rýchlu výmenu informácií, sme čoraz častejšie svedkami neželateľných únikov. Aj rastúca migrácia zamestnancov medzi konkurenčnými spoločnosťami predstavuje riziko straty dôležitých poznatkov pri odchode týchto zamestnancov z organizácie. Systematický prístup k informačnej bezpečnosti pomáha organizácii riadiť informačne toky. Poskytuje organizáciám nástroj na identifikáciu kritických aktív a ich ochranu, vytvára možnosť získať si dôveru zamestnancov, zákazníkov, vlastníkov a celej spoločnosti.
Fázy budovania ISMS
Všeobecne platí, že bez toho, aby si to niekto uvedomoval, rad požiadaviek na ISMS býva v organizáciách splnený a teda aj realizovaný v súvislosti s riešením iných problémov alebo okruhov.
Je to dané napríklad tým, že organizácia rieši bezpečnosť IS, rieši fyzickú a objektovú bezpečnosť, posudzuje uchádzačov o prijatie do zamestnania, zálohuje a archivuje dáta, vytvára plány obnovy činnosti IS po havárií a pod. Tým ale súčasne plní aj určité požiadavky kladené na ISMS.
V prípade, že sa vedenie organizácie/podniku/spoločnosti rozhodne vybudovať ISMS v súlade s normou ISO/IEC 27001, pritom odporúčaná postupnosť krokov je takáto :
1. Analýza stavu ISMS,
- Určenie rámca ISMS,
- Aktualizácia a dopracovanie dokumentácie ISMS,
- Implementovanie procesov ISMS do praxe,
- Predcertifikačný audit ISMS,
- Certifikačný audit ISMS,
- Udržiavanie a zlepšovanie ISMS.
- Analýza stavu ISMS
Cieľom analýzy stavu ISMS je určiť existujúci stav najmä z hľadiska toho, ako existujúci prístup organizácie k informačnej bezpečnosti spĺňa požiadavky normy. Oblasti, ktoré sú predmetom analýzy, sú dané normou a patrí medzi ne najmä :
· Procesy a postupy vyžadované normou ISO%IEC 27001,
- Opatrenia vyžadované normou,
- Dokumentácia vyžadovaná normou,
- Interné normy riadenia vyžadované normou,
- Záznamy o fungovaní ISMS vyžadované normou.
V súčasnosti sú na trhu dostupné nástroje, ktoré umožňujú takúto rozdielovú analýzu realizovať s podporou SW nástroja.
- Definovať politiku ISMS v zmysle charakteristík podnikania organizácie, jej lokalizácie, aktív a technológií, ktorá:
- zahŕňa sústavu pre stanovenie jej cieľov a zavádza celkové chápanie smerovania a zásad konania vzhľadom na informačnú bezpečnosť;
- berie do úvahy podnikateľské a právne alebo regulačné požiadavky a zmluvné bezpečnostné záväzky;
- zavádza strategický kontext organizácie a riadenia rizík, v ktorom sa bude realizovať zavádzanie a údržba ISMS;
- zavádza kritéria, podľa ktorých sa bude ohodnocovať riziko a definovať štruktúra stanovenia rizika
Politika ISMS by mala byť schválená manažmentom organizácie.
Aktualizácia a dopracovanie dokumentácie ISMS
Manažér poverený budovaním systému informačnej bezpečnosti podľa ISO 27001 a jeho prípravou na certifikáciu by mal zabezpečiť vlastnými kapacitami alebo externe :
- vytvorenie chýbajúcej dokumentácie ISMS,
- a aktualizáciu existujúcej dokumentácie.
Dokumentácia systému informačnej bezpečnosti je popísaná v norme ISO 27001.
Implementovanie procesov systému informačnej bezpečnosti podľa ISO/IEC 27001 do praxe
Organizácia budujúca systém informačnej bezpečnosti by mala vykonávať nasledovné činnosti
- formulovať plán ošetrenia rizík, ktorý identifikuje vhodné kroky riadenia, zodpovednosti a priority riadenia rizík informačnej bezpečnosti
- riadiť prevádzku a to pomocou zdrojov a zároveň implementovať jednotlivé postupy
Predcertifikačný audit sytému informačnej bezpečnosti
Po určitom období normálneho fungovanie ISMS, odporúča sa 2 až 6 mesiacov, je možné pristúpiť k predcertifikačnému auditu.
Cieľom predcertifikačného auditu je zistiť, či všetky požiadavky normy boli v organizácii uspokojivo realizované, či ISMS funguje efektívne a teda existuje predpoklad, že ISMS je certifikovateľný nezávislým certifikačným orgánom .
Predcertifikačný audit spravidla vykonáva externá poradensko-konzultačná firma majúca skúsenosti s budovaním ISMS a preverovaním ich súladu s požiadavkami normy ISO/IEC 27001.
Certifikačný audit ISMS podľa ISO 27001
Certifikačný audit ISMS vykonávajú akreditované certifikačné orgány.
Pri realizácii certifikačného auditu podľa ISO 27001 sa certifikačné orgány riadia vlastnými metodikami, ktoré sú v súlade s platnou certifikačnou schémou. Certifikačný audit ISMS trvá v závislosti od veľkosti spoločnosti a rozsahu ISMS od jedného po tri, prípade aj viac dní
Po úspešnej certifikácii ISMS, ktorá končí vydaním certifikátu s platnosťou 3 roky, pravidelne, raz ročne prebiehajú tzv. dohľadové audity.