Proč zavést normu ISO/IEC 27001 (ISMS)

28.1. 2019 (Aktualizováno: 28.5. 2019)105x

Pro většinu běžných zákazníků není jednoduché si ověřit, zda společnost, které svěřuje svá data, dbá na bezpečnost tak jak by měla. Systém řízení bezpečnosti informací (ISMS) je systémový přístup k řízení citlivých firemních informací vedoucí k jejich uchování v bezpečí.

ISO 27001 je mezinárodní norma a celé označení poslední české verze je ČSN ISO/IEC 27001:2014.

Slovní název této normy zní: „Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky“ a česky jí vydává: Úřad pro technickou normalizaci, metrologii a státní zkušebnictví.

Norma je svou strukturou snadno kompatibilní s normou ISO 9001, tak lze snadno vybudovat integrovaný systém z obou těchto norem.

Informace jsou aktiva, která stejně jako významná obchodní aktiva, navyšují hodnotu organizace, a proto musí být chráněna.

Chyby v informační bezpečnosti organizace mohou mít za následek zvyšování finančních ztrát a způsobit velké škody v podnikatelské činnosti. Systém řízení bezpečnosti informací (ISMS) je systémový přístup k řízení citlivých firemních informací vedoucí k jejich uchování v bezpečí.

ISMS se zabývá všemi formami reprezentace informací, neomezuje se jen na informace zpracovávané ve výpočetních a přenosových systémech. Je třeba si uvědomit, že některá informační aktiva mají hodnotu jen ve své jedinečné originální formě (např. směnka, ale i originál obrazu apod.)

Organizace s certifikátem ISO/IEC 27001 zaručuje zejména, že:

  • Umí systematicky identifikovat informační bezpečnostní rizika a zmírnit je.
  • Má plány pro řízení kontinuity činností v případě mimořádných událostí způsobených člověkem nebo přírodou.
  • Má lepší ochranu důvěrných informací a snižuje riziko útoku hackerů.
  • Dokáže se rychleji vyrovnat s následky útoků a zlepšuje schopnost překonat důsledky mimořádných událostí.
  • Má vytvořenou strukturovanou a globálně uznávanou metodiku bezpečnosti informací.
  • Je v souladu se zákonnými a smluvními požadavky.

Tento systém lze uplatnit na širokou škálu organizací – malé, střední i velké – ve většině komerčních a průmyslových sektorů trhu, jako jsou zejména finance, pojišťovnictví, telekomunikace, ale i v maloobchodu, výrobních odvětvích, dopravě, vládních organizacích a v mnoha dalších.