+420 241411300 suss@suss.cz

ISMS (BS 7799-1)

Information Security Management System

ISO/IEC 17799:2005
ISO/IEC 27001:2005

ISO/IEC 27001:2013

Obě tyto normy specifikující požadavky na Systém řízení bezpečnosti informací a vychází z britské normy BS 7799:1999, která sestává ze dvou částí

  • směrnice pro zabezpečení informací
  • specifikace pro systémy zabezpečení informací

Norma BS 7799-1 byla vydána v roce 1995 za účelem poskytnutí kontroly v oblasti zabezpečení informací ve velkých, středních i malých organizacích včetně organizací státní správy. Revize v roce 1999 vzala v úvahu poslední vývoj v použití technologie zpracování informací, zvláště v oblasti sítí a komunikací. Také klade větší důraz na začlenění podniku do zabezpečení informací a na odpovědnost za zabezpečení informací.

Dokument normy může být použit jako základ, ze kterého může být odvozena například politika společnosti nebo vnitropodniková obchodní dohoda. Neměla by být citována jako specifikace a zvláštní pozornost by měla být věnována tomu, aby požadavky na shodu s jejími ustanoveními nebyly nesprávné. Předpokládá se, že výkon jejích opatření bude svěřen příslušně kvalifikovaným a zkušeným osobám.

Důvody implementace systému bezpečnosti informací

  • zabezpečení informací
  • zefektivnění informačních toků ve společnosti
  • ochrana osobních údajů (zák. č. 101/2000 Sb.)
  • ziskové organizace (firmy) – spolehlivé zabezpečení informací je spojeno s existencí organizace vůbec a vždy vede k získání lepší pozice na trhu
  • trestní odpovědnost podle §178 Trestního zákoníku (neoprávněné nakládání s osobními údaji)
  • organizace veřejné správy – přistupují na požadavky implementace ISVS (Informační systém veřejné správy) dle zákona č. 365/2000 Sb., resp. 517/2002 Sb.
  • stále větší množství zpracovávaných informací, automatizace jejich zpracování a vliv dalších zákonů a vyhlášek. Při těchto činnostech je nezbytně nutné zajistit
    • včasnou dostupnost informací
    • zamezení nechtěné modifikace informací
    • zamezit zneužití informací
    • zamezení ztrátě informací

Způsob zavádění systému

  • definování politiky bezpečnosti informací
  • identifikace, ocenění a klasifikace informačních aktiv
  • stanovení úrovně bezpečnosti
  • stanovení rozsahu aplikovatelnosti
  • určení způsobu řízení rizik v oblasti informací
  • implementace systému
  • certifikace nezávislou akreditovanou firmou

Politika bezpečnosti informací

  • závazek managementu organizace k ochraně a způsobu zpracování informací
  • hlavní zásady práce s informacemi a způsob jejich zabezpečení
  • následky porušení informační politiky