Proč zavést normu ISO/IEC 27001 (ISMS)

Pro většinu běžných zákazníků není jednoduché si ověřit, zda společnost, které svěřuje svá data, dbá na bezpečnost tak jak by měla. Systém řízení bezpečnosti informací (ISMS) je systémový přístup k řízení citlivých firemních informací vedoucí k jejich uchování v bezpečí.

ISO 27001 je mezinárodní norma a celé označení poslední české verze je ČSN ISO/IEC 27001:2014.

Slovní název této normy zní: „Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky“ a česky jí vydává: Úřad pro technickou normalizaci, metrologii a státní zkušebnictví.

Norma je svou strukturou snadno kompatibilní s normou ISO 9001, tak lze snadno vybudovat integrovaný systém z obou těchto norem.

Informace jsou aktiva, která stejně jako významná obchodní aktiva, navyšují hodnotu organizace, a proto musí být chráněna.

Chyby v informační bezpečnosti organizace mohou mít za následek zvyšování finančních ztrát a způsobit velké škody v podnikatelské činnosti. Systém řízení bezpečnosti informací (ISMS) je systémový přístup k řízení citlivých firemních informací vedoucí k jejich uchování v bezpečí.

ISMS se zabývá všemi formami reprezentace informací, neomezuje se jen na informace zpracovávané ve výpočetních a přenosových systémech. Je třeba si uvědomit, že některá informační aktiva mají hodnotu jen ve své jedinečné originální formě (např. směnka, ale i originál obrazu apod.)

Organizace s certifikátem ISO/IEC 27001 zaručuje zejména, že:

• Umí systematicky identifikovat informační bezpečnostní rizika a zmírnit je.
• Má plány pro řízení kontinuity činností v případě mimořádných událostí způsobených člověkem nebo přírodou.
• Má lepší ochranu důvěrných informací a snižuje riziko útoku hackerů.
• Dokáže se rychleji vyrovnat s následky útoků a zlepšuje schopnost překonat důsledky mimořádných událostí.
• Má vytvořenou strukturovanou a globálně uznávanou metodiku bezpečnosti informací.
• Je v souladu se zákonnými a smluvními požadavky.

Tento systém lze uplatnit na širokou škálu organizací – malé, střední i velké – ve většině komerčních a průmyslových sektorů trhu, jako jsou zejména finance, pojišťovnictví, telekomunikace, ale i v maloobchodu, výrobních odvětvích, dopravě, vládních organizacích a v mnoha dalších.