Systém informačne bezpečnosti podľa ISO/IEC 27001 je časť celkového systému riadenia, založená na prístupe k riziku podniku, ktorej úlohou je zaviesť, implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť .

Vo svete je budovanie a certifikácia systémov informačnej bezpečnosti podľa ISO/IEC 27001 bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností.

Informačná bezpečnosť je viac ako informačne technológie. Systém manažérstva informačnej bezpečnosti umožni organizácii primerane zaobchádzať so svojimi informáciami a chrániť ich pred neželateľným unikom.

V čase prudkého rozmachu technických riešení na mieru ušitých požiadavkám na zjednodušenie a rýchlu výmenu informácií, sme čoraz častejšie svedkami neželateľných únikov. Aj rastúca migrácia zamestnancov medzi konkurenčnými spoločnosťami predstavuje riziko straty dôležitých poznatkov pri odchode týchto zamestnancov z organizácie. Systematický prístup k informačnej bezpečnosti pomáha organizácii riadiť informačne toky. Poskytuje organizáciám nástroj na identifikáciu kritických aktív a ich ochranu, vytvára možnosť získať si dôveru zamestnancov, zákazníkov, vlastníkov a celej spoločnosti.

Fázy budovania ISMS

Všeobecne platí, že  bez  toho,  aby  si  to  niekto  uvedomoval,  rad  požiadaviek  na ISMS býva v organizáciách splnený a teda aj realizovaný v súvislosti s riešením iných problémov alebo okruhov.

Je  to  dané  napríklad  tým,  že  organizácia  rieši  bezpečnosť   IS,  rieši  fyzickú    a objektovú  bezpečnosť,  posudzuje  uchádzačov  o prijatie  do  zamestnania,  zálohuje     a archivuje dáta, vytvára plány obnovy činnosti IS po havárií a pod. Tým ale súčasne plní aj určité požiadavky kladené na ISMS.

V prípade, že sa vedenie organizácie/podniku/spoločnosti rozhodne vybudovať ISMS v súlade s normou ISO/IEC 27001, pritom odporúčaná postupnosť krokov je takáto :

1.      Analýza stavu ISMS,

  • Určenie rámca ISMS,
  • Aktualizácia a dopracovanie dokumentácie ISMS,
  • Implementovanie procesov ISMS do praxe,
  • Predcertifikačný audit ISMS,
  • Certifikačný audit ISMS,
  • Udržiavanie a zlepšovanie ISMS.
  1. Analýza stavu ISMS

Cieľom analýzy stavu ISMS je určiť existujúci stav najmä z hľadiska toho, ako existujúci prístup organizácie k informačnej bezpečnosti spĺňa požiadavky normy. Oblasti, ktoré sú predmetom analýzy, sú dané normou a patrí medzi ne najmä :

·         Procesy a postupy vyžadované normou ISO%IEC 27001,

  • Opatrenia vyžadované normou,
    • Dokumentácia vyžadovaná normou,
    • Interné normy riadenia vyžadované normou,
    • Záznamy o fungovaní ISMS vyžadované normou.

V súčasnosti sú na trhu dostupné nástroje, ktoré umožňujú takúto rozdielovú analýzu realizovať s podporou SW nástroja.

  • Definovať politiku ISMS v zmysle charakteristík podnikania organizácie, jej lokalizácie, aktív a technológií, ktorá:
    • zahŕňa sústavu pre stanovenie jej cieľov a zavádza celkové chápanie smerovania a zásad konania vzhľadom na informačnú bezpečnosť;
    • berie do  úvahy  podnikateľské  a právne  alebo  regulačné  požiadavky a zmluvné bezpečnostné záväzky;
    • zavádza strategický kontext organizácie a riadenia rizík, v ktorom sa bude realizovať zavádzanie a údržba ISMS;
    • zavádza kritéria, podľa ktorých sa bude ohodnocovať riziko a definovať štruktúra stanovenia rizika

Politika ISMS by mala byť schválená manažmentom organizácie.

Aktualizácia a dopracovanie dokumentácie ISMS

Manažér poverený budovaním systému informačnej bezpečnosti podľa ISO 27001 a jeho prípravou na certifikáciu by mal zabezpečiť vlastnými kapacitami alebo externe :

  • vytvorenie chýbajúcej dokumentácie ISMS,
    • a aktualizáciu existujúcej dokumentácie.

Dokumentácia systému informačnej bezpečnosti je popísaná v norme ISO 27001.

Implementovanie procesov systému informačnej bezpečnosti podľa ISO/IEC 27001 do praxe

Organizácia budujúca systém informačnej bezpečnosti by mala vykonávať nasledovné činnosti

  1. formulovať plán ošetrenia rizík, ktorý identifikuje vhodné kroky riadenia, zodpovednosti a priority riadenia rizík informačnej bezpečnosti
  2. riadiť prevádzku a to pomocou zdrojov a zároveň implementovať jednotlivé postupy

Predcertifikačný audit sytému informačnej bezpečnosti

Po určitom období normálneho fungovanie ISMS, odporúča sa 2 až 6 mesiacov, je možné pristúpiť k predcertifikačnému auditu.

Cieľom predcertifikačného auditu je zistiť, či  všetky požiadavky normy boli   v organizácii uspokojivo realizované, či ISMS funguje efektívne a teda existuje predpoklad, že ISMS je certifikovateľný nezávislým certifikačným orgánom .

Predcertifikačný audit spravidla vykonáva externá poradensko-konzultačná firma majúca skúsenosti s budovaním ISMS a preverovaním ich súladu s požiadavkami normy ISO/IEC 27001.

Certifikačný audit ISMS podľa ISO 27001

Certifikačný audit ISMS vykonávajú akreditované certifikačné orgány.

Pri realizácii certifikačného auditu podľa ISO 27001 sa certifikačné orgány riadia vlastnými metodikami, ktoré sú v súlade s platnou certifikačnou schémou. Certifikačný audit ISMS trvá v závislosti od veľkosti spoločnosti a rozsahu ISMS od jedného po tri, prípade aj viac dní

Po úspešnej certifikácii ISMS, ktorá končí vydaním certifikátu s platnosťou 3 roky, pravidelne, raz ročne prebiehajú tzv. dohľadové audity.