ISO 27 001

ISMS (BS 7799-1)

Information Security Management System

ISO/IEC 17799 ISO/IEC 27001 ISO/IEC 27001 Obě tyto normy specifikující požadavky na Systém řízení bezpečnosti informací a vychází z britské normy BS 7799, která sestává ze dvou částí

• směrnice pro zabezpečení informací
• specifikace pro systémy zabezpečení informací

Norma BS 7799-1 byla vydána v roce 1995 za účelem poskytnutí kontroly v oblasti zabezpečení informací ve velkých, středních i malých organizacích včetně organizací státní správy. Revize v roce 1999 vzala v úvahu poslední vývoj v použití technologie zpracování informací, zvláště v oblasti sítí a komunikací. Také klade větší důraz na začlenění podniku do zabezpečení informací a na odpovědnost za zabezpečení informací. Dokument normy může být použit jako základ, ze kterého může být odvozena například politika společnosti nebo vnitropodniková obchodní dohoda. Neměla by být citována jako specifikace a zvláštní pozornost by měla být věnována tomu, aby požadavky na shodu s jejími ustanoveními nebyly nesprávné. Předpokládá se, že výkon jejích opatření bude svěřen příslušně kvalifikovaným a zkušeným osobám.

Důvody implementace systému bezpečnosti informací

• zabezpečení informací
• zefektivnění informačních toků ve společnosti
• ochrana osobních údajů (zák. č. 101/2000 Sb.)
• ziskové organizace (firmy) – spolehlivé zabezpečení informací je spojeno s existencí organizace vůbec a vždy vede k získání lepší pozice na trhu
• trestní odpovědnost podle §178 Trestního zákoníku (neoprávněné nakládání s osobními údaji)
• organizace veřejné správy – přistupují na požadavky implementace ISVS (Informační systém veřejné správy) dle zákona č. 365/2000 Sb., resp. 517/2002 Sb.
• stále větší množství zpracovávaných informací, automatizace jejich zpracování a vliv dalších zákonů a vyhlášek. Při těchto činnostech je nezbytně nutné zajistit
• včasnou dostupnost informací
• zamezení nechtěné modifikace informací
• zamezit zneužití informací
• zamezení ztrátě informací

Způsob zavádění systému

• definování politiky bezpečnosti informací
• identifikace, ocenění a klasifikace informačních aktiv
• stanovení úrovně bezpečnosti
• stanovení rozsahu aplikovatelnosti
• určení způsobu řízení rizik v oblasti informací
• implementace systému
• certifikace nezávislou akreditovanou firmou

Politika bezpečnosti informací

• závazek managementu organizace k ochraně a způsobu zpracování informací
• hlavní zásady práce s informacemi a způsob jejich zabezpečení
• následky porušení informační politiky

Máte zájem o ISO produkty?