SK / EN

ISO 27001

Systém manažérstva informačnej bezpečnosti podľa ISO 27001:2013

Systém riadenia informačnej bezpečnosti podľa ISO 27001:2013 je určený k ochrane informácií a teda k zvládaniu rizík, ktoré tieto informácie môžu potenciálne ohrozovať. Systém riadenia informačnej bezpečnosti podľa ISO 27001:2013 je dokumentovaný systém dokazujúci, že identifikované informačné aktíva sú chránené, riziká bezpečnosti informácií sú riadené, sú zavedené opatrenia s požadovanou úrovňou záruky a tie sú kontrolované. ISMS môže byť zavedený pre špecifický IS, jednotlivé časti IS alebo môže zahŕňať celú organizáciu.

Prečo systém manažérstva informačnej bezpečnosti

Informácie sú aktíva, ktoré majú pre spoločnosť veľkú hodnotu a teda potrebujú byť vhodným spôsobom chránené. Bezpečnosť informácií je zameraná na širokú škálu hrozieb a zabezpečuje tak kontinuitu činností organizácie, minimalizuje obchodné straty a maximalizuje návratnosť investícii a podnikateľských príležitostí. Informácie môžu existovať v rôznych podobách. Môžu byť tlačené, písané, zachytené na filme alebo posielané elektronickou poštou. Nech už majú akúkoľvek formu alebo sú zdieľané akýmikoľvek prostriedkami, vždy by mali byť vhodne chránené.

Pre účely tejto normy je bezpečnosť informácií charakterizovaná ako zachovanie:

  • dôvernosti 
  • integrity 
  • dostupnosti 
  • Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení, ktoré môžu existovať vo forme pravidiel, natrénovaných postupov, procedúr, 
  • organizačnej štruktúry a programových funkcií. Tieto opatrenia musia byť zavedené preto, aby sa dosiahli špecifické bezpečnostné ciele organizácie. 

Prínosy z implementácie systému manažérstva informačnej bezpečnosti

Implementácia ISO 27001:2013 predstavuje mnoho výhod pre organizáciu, medzi ktoré patria najmä

Externé konkurenčné výhody:

o certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva jej dlhodobej stabilite a prosperite o ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie o ISMS napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom

Interné organizačné výhody:

  • zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií o zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby 
  • optimalizácia a zefektívnenie plánovania investícií do IS a IT
  • objektívnejšie vyhodnocovanie a ochrana firemného know-how

Komu je ISO 27001:2013 určené

Systém manažérstva informačnej bezpečnosti podľa požiadaviek normy ISO 27001:2013 je určený pre všetky typy organizácii bez rozdielu zamerania či veľkosti organizácie.

Systém si môžu zaviesť a nechať certifikovať výrobné, obchodné, servisné, montážne, či poradenské a vzdelávacie organizácie zo všetkých oblastí priemyslu a služieb.

Doba zavádzania systému riadenia je závislá na:

  • veľkosti organizácie a časovému prispôsobeniu vedenia a zamestnancov 
  • často spôsobu a forme zavádzania (iba vlastnými silami, s pomocou odborného externého poradcu alebo kombináciou týchto možností)

 

Ako sa pripraviť na implementáciu systému manažérstva informačnej bezpečnosti

Pred implementáciou systému manažérstva informačnej bezpečnosti si organizácia musí ujasniť niekoľko hľadísk:

  • prečo chce či musí systém manažérstva informačnej bezpečnosti zaviesť 
  • akých oblastí činností organizácie sa bude systém manažérstva informačnej bezpečnosti týkať o v akom rozsahu bude zavedený – (celá firma - všetky činnosti, alebo len niektoré významné činnosti - napr. obchod, výroba, servis, apod.) o vedúci pracovníci si celkom určite musia premyslieť „rozdelenie právomocí“ jednotlivých zamestnancov o akým spôsobom chce organizácia systém manažérstva informačnej bezpečnosti zaviesť.