Bezpečnost informací - Otázky a odpovědi k normě ISO 27001

Kvůli nedostatečnému zabezpečení zpracování informací vzniká jen německému hospodářství každoročně škoda v řádu miliard eur. Důvody jsou komplexní a sahají od narušení zvenčí, přes technické chyby, průmyslovou špionáž až po zneužití informací bývalými zaměstnanci. Ale pouze ten, kdo si uvědomuje problémy, může také iniciovat vhodná opatření. Dobře strukturovaný systém řízení bezpečnosti informací v souladu s mezinárodně uznávanou normou ISO 27001 je optimálním základem pro efektivní realizaci komplexní bezpečnostní strategie. Co to přesně znamená a co je třeba vzít v úvahu? Odpovědi na důležité otázky týkající se normy ISO 27001 získáte právě zde.

OBSAH

• Co je to bezpečnost informací?
• Jaké jsou cíle ochrany bezpečnosti informací?
• Co je to systém řízení bezpečnosti informací?
• Pro které organizace je norma ISO 27001 užitečná?
• Jaké jsou výhody systému řízení bezpečnosti informací?
• Jakou roli hrají lidé?
• ISO 27001 - Otázky k úvodu
• Proč certifikace podle normy ISO 27001?
• DQS - Co pro vás můžeme udělat

Co je to bezpečnost informací?

Odpověď na tuto otázku je z hlediska mezinárodní rodiny norem pro bezpečnost informací ISO 2700x poměrně jednoduchá:

"Informace jsou data, která mají pro organizaci hodnotu."

ISO/IEC 27000:2020-06: Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník.

Jak vidíte, informace jsou aktivem, které by se nemělo dostat do rukou neoprávněných osob a které vyžaduje odpovídající ochranu.

Bezpečnost informací je tedy vše, co souvisí s ochranou informačních aktiv vaší společnosti. Rozhodující je zde uvědomit si rizika, která v kontextu firmy existují,nebo je odhalit a čelit jim vhodnými opatřeními na základě potřeb.

"Bezpečnost informací není bezpečnost IT"

Zabezpečení IT se týká pouze bezpečnosti nasazených technologií, nikoliv podnikových aktiv, která mají být chráněna. Zásadní roli v informační bezpečnosti hrají také organizační záležitosti, například oprávnění k přístupu, odpovědnosti nebo schvalovací postupy, a také psychologické aspekty. Bezpečné IT však chrání i informace ve firmě.

Jaké jsou cíle ochrany bezpečnosti informací?

Podle mezinárodní normy ISO/IEC 27001 zahrnují cíle ochrany bezpečnosti informací tři hlavní aspekty:

• Důvěrnost - ochrana důvěrných informací před neoprávněným přístupem, ať už z důvodů zákonů na ochranu údajů nebo na základě obchodního tajemství, na které se vztahuje např. zákon o obchodním tajemství . Podstatná je zde úroveň důvěrnosti.
• Integrita - minimalizace případných rizik, zajištění úplnosti a spolehlivosti všech údajů a informací.
• Dostupnost - zajištění přístupu a použitelnosti pro oprávněný přístup k informacím, budovám a systémům. To je zásadní pro zachování procesů.

Certifikovaná bezpečnost informací podle normy ISO 27001

Chraňte své informace pomocí systému řízení, který splňuje mezinárodní normy ✓ DQS nabízí více než 35 let zkušeností s certifikací ✓

• Další informace naleznete na naší produktové stránce ISO 27001

Klíčové otázky týkající se bezpečnosti informací

• Jaké jsou hodnoty mé společnosti?
• Které hodnoty společnosti je třeba chránit?
• Jakým útokům jsou firemní aktiva vystavena?
• Kdo má zájem na ochraně těchto informací?
• Jaká jsou vhodná opatření?

Co je to systém řízení bezpečnosti informací?

Systém řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001 definuje směrnice, pravidla a metody pro zajištění bezpečnosti informací, které stojí za to v organizaci chránit. Poskytuje model pro zavádění, implementaci, monitorování a zlepšování úrovně ochrany - v souladu se systematickým postupem cyklu PDCA (Plan-Do-Check-Act) známým z normy ISO 9001.

Cílem je identifikovat a analyzovat potenciální rizika a učinit je kontrolovatelnými prostřednictvím vhodných opatření.

Cenné znalosti

ISO 27001 v praxi

Naše příručka pro audit ISO 27001 - příloha A byla vytvořena předními odborníky jako praktický průvodce implementací a je ideální pro lepší pochopení vybraných požadavků. Příručka vychází z normy ISO/IEC 27001:2017.

Více informací naleznete v našem průvodci auditem DQS ISO 27001 - příloha A.

Proč je řízení bezpečnosti informací důležité?

Úspěšné organizace využívají strukturu a transparentnost moderních systémů řízení k odhalování hrozeb a cílenému nasazení současných bezpečnostních systémů. Jádrem systému řízení bezpečnosti informací je zabezpečení vlastních informačních aktiv, jako je duševní vlastnictví, finanční a personální údaje, a také informací, které vám svěřili zákazníci nebo třetí strany.

"Zabezpečení informací vždy znamená ochranu významných informací nebo cenných dat."

Rizik, kterým jsou vystavena data hodná ochrany, je mnoho. Mohou vyplývat z materiálních, lidských a technických bezpečnostních hrozeb. Ale pouze holistický, preventivní přístup systému řízení ISMS může řešit celé spektrum hrozeb a zajistit kontinuitu podnikání společnosti.

Pro které organizace je norma ISO 27001 užitečná?

Odpověď na tuto otázku je velmi jednoduchá: pro všechny. Normu ISO 27001 lze v zásadě použít ve všech organizacích bez ohledu na jejich typ, velikost a odvětví. A: všechny organizace využívají výhod strukturovaného systému řízení. Zavedení ISMS je ovlivněno následujícími faktory:

• Požadavky a obchodní cíle
• Bezpečnostní potřeby
• Používané obchodní procesy
• Velikost a struktura organizace

Jaké jsou výhody systému řízení bezpečnosti informací?

Důležitá otázka. Norma ISO 27001 formuluje požadavky na systematický návrh a zavedení procesně orientovaného systému řízení bezpečnosti informací. Tímto holistickým přístupem lze dosáhnout rozhodujících výhod:

• Bezpečnost citlivých informací se stává nedílnou součástí firemních procesů.
• preventivní zajištění cílů ochrany důvěrnosti, dostupnosti a integrity informací
• Zachování kontinuity podnikání prostřednictvím neustálého zlepšování úrovně zabezpečení
• Senzibilizace zaměstnanců a výrazné zvýšení bezpečnostního povědomí na všech úrovních společnosti
• Zavedení účinného procesu řízení rizik
• Budování důvěry u zainteresovaných stran (např. výběrová řízení) prostřednictvím prokazatelně bezpečného nakládání s citlivými informacemi
• Dodržování příslušných požadavků na dodržování předpisů, větší bezpečnost jednání a právní jistota.

Jak lze řídit potenciální rizika?

Bezpečnostní rizika mohou vyplývat z materiálních, lidských a technických hrozeb. K dosažení sledovatelné a odpovídající úrovně bezpečnosti v organizaci je zapotřebí definovaný proces nebo metoda řízení rizik pro jejich hodnocení, ošetření a monitorování. Norma ISO/IEC 27005 poskytuje dobrý návod pro řízení rizik v oblasti bezpečnosti informací.

Jakou roli hrají lidé?

Lidé jsou také rizikovým faktorem, protože nakládání s citlivými informacemi se týká všech zaměstnanců a partnerů společnosti bez výjimky. Představují zvýšené bezpečnostní riziko, ať už z důvodu neznalosti nebo lidské chyby. Jen velmi málo organizací však upravuje, kdo může získat přístup k jakým informacím a jak s nimi má nakládat.

"Novým zdrojem moci již nejsou peníze v rukou několika málo lidí, ale informace v rukou mnoha lidí." John Naisbitt, *1929, Američan. Futurolog

Základním předpokladem jsou proto závazné předpisy a výrazné povědomí o všech problémech informační bezpečnosti. Za zásadní se zde považuje úprava podnikové politiky nebo vytvoření vhodné politiky bezpečnosti informací. Nezbytná senzibilizace zaměstnanců na všech úrovních (řízení) je záležitostí šéfa a může probíhat například prostřednictvím školení, workshopů nebo osobních rozhovorů.

Tip na čtení:

Přečtěte si náš nový článek na blogu: Incidenty v oblasti informační bezpečnosti: Zaměstnanci jako faktor úspěchu

ISO 27001 - Otázky k implementaci

Na otázku, zda již musí mít podnik zaveden systém řízení, například podle normy ISO 9001, lze jednoznačně odpovědět "ne". Norma ISO 27001 je obecná norma a - stejně jako všechny normy týkající se systémů řízení - stojí sama o sobě. To znamená, že organizace může zavést a implementovat systém řízení bezpečnosti informací kdykoli a nezávisle na jakýchkoli existujících strukturách.

Nicméně společnosti, které mají systém řízení kvality v souladu s normou ISO 9001, již vytvořily dobrý základ pro postupné zavádění komplexního zabezpečení informací.

Norma ISO 27001 svou strukturou a přístupem vychází z povinné základní struktury všech procesně orientovaných norem systémů řízení, tzv. struktury vysoké úrovně. V důsledku toho nabízí možnost snadného začlenění systému řízení bezpečnosti informací do již existujícího systému řízení. Stejně tak je možná společná certifikace podle ISO 27001 s ISO 20000-1 (řízení služeb IT) nebo ISO 22301 (řízení kontinuity činností) od DQS.

Které dokumenty mohou zavedení podpořit?

Preferovaným základem pro zavedení uceleného systému řízení bezpečnosti informací je mezinárodní skupina norem ISO/IEC 2700x. Jejím cílem je podpořit organizace všech typů a velikostí při zavádění a provozování ISMS. Stupeň zavedení v organizaci lze ověřit pomocí interního auditu.

Užitečnými součástmi řady norem jsou

• ISO/IEC 27000:2018: Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovní zásoba
• ISO/IEC 27001:2013: Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky (Nová verze této normy byla zveřejněna v říjnu 2022, další informace přineseme)
• ISO/IEC 27002:2022: Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Kontroly bezpečnosti informací. Norma ISO 27002 definuje široký katalog obecných bezpečnostních opatření, která mají organizacím pomoci při implementaci požadavků uvedených v příloze A normy ISO 27001.
• ISO/IEC 27003:2017: Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Pokyny
• ISO/IEC 27004-2016: Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Monitorování, měření, analýza a hodnocení
• ISO/IEC 27005:2018: Informační technologie - Bezpečnostní techniky - Řízení rizik informační bezpečnosti

Všechny předpisy jsou k dispozici na webových stránkách ISO.

ISO 27001 - Otázky týkající se pracovníka pro bezpečnost IT?

Vyžaduje norma ISO 27001 pověřence pro bezpečnost IT? Odpověď zní "ano".

Jedním z úkolů v rámci systému řízení bezpečnosti informací je jmenování pověřence pro bezpečnost IT vrcholovým vedením. Pracovník pro bezpečnost IT je kontaktní osobou pro všechny otázky bezpečnosti IT. Měl by být začleněn do všech procesů ISMS a úzce propojen s manažery IT - například při výběru nových IT komponent a IT aplikací.

ISO 27001 v praxi

Průvodce auditem DQS (na základě normy ISO 27001:2013)

Využijte dobré otázky pro audit a možné důkazy o vybraných kontrolách z přílohy A.

Od odborníků v oboru.

Je to víc než jen kontrolní seznam! Stáhněte si ji nyní.

Proč certifikace ISO 27001?

Certifikace založená na akreditovaném postupu je důkazem, že byl zaveden systém řízení a opatření k systematické ochraně informačních aktiv. Certifikátem ISO 27001 prokazujete "černé na bílém", že jste tento systém úspěšně zavedli a zavázali se k jeho neustálému zlepšování.

Certifikát DQS, který je ceněn po celém světě, je viditelným vyjádřením neutrálního posouzení a posiluje důvěru ve vaši společnost. To je výhodou na trhu a poskytuje dobrý předpoklad ve výběrových řízeních a při obchodech se zákazníky kritickými z hlediska bezpečnosti, jako jsou například poskytovatelé finančních služeb.

ISO 27001 - Otázky k procesu certifikace

Všechny systémy řízení, které jsou posuzovány na základě mezinárodních pravidel (ISO 17021) akreditovaným certifikačním orgánem, jako je DQS, podléhají stejnému certifikačnímu procesu.

Počáteční certifikace se skládá z analýzy systému (audit fáze 1) a auditu systému (audit fáze 2), během kterého auditoři na místě ověřují, zda celý systém funguje správně a zda byly implementovány všechny požadavky. Certifikát je pak platný po dobu 3 let.

Aby bylo možné zaručit platnost po celou dobu, musí být systém řízení každoročně ověřován. V prvním a druhém roce po vydání certifikátu proto auditoři DQS provádějí zkrácené audity ISMS (dozorové audity), při nichž posuzují například účinnost klíčových složek systému nebo nápravných a preventivních opatření. Po třech letech pak probíhá recertifikace.

Společnosti, které již mají existující systém řízení, by měly spojit své programy auditů a usilovat o společnou certifikaci integrovaného systému řízení (IMS).

Je možná maticová certifikace?

Maticová certifikace je možná pro společnosti s více pracovišti. V zásadě platí pro normu ISO 27001 stejné požadavky jako pro jiné normy ISO, například ISO 9001 nebo ISO 14001. DQS může zajistit integraci ISO 27001 do stávajících maticových postupů, tj. společný externí audit s ostatními normami.

Jaké jsou výhody ISO 27001 oproti TISAX?

TISAX® (Trusted Information Security Assessment Exchange) byl vyvinut jako průmyslová norma speciálně pro automobilový průmysl a přizpůsoben specifickým potřebám tohoto odvětví. Základem pro posouzení TISAX® je katalog testů VDA Information Security Assessment (VDA ISA), který vychází mimo jiné z požadavků norem ISO 27001 nebo ISO 27002 a rozšiřuje je o témata, jako je ochrana prototypů nebo ochrana dat.

Další cenné poznatky naleznete na naší produktové stránce TISAX®.

Cílem systému TISAX® je zajistit komplexní bezpečnost (informací) ve všech fázích dodavatelského řetězce. Registrace v databázi navíc zjednodušuje postup vzájemného uznávání. Systém TISAX® je však uznáván pouze v automobilovém průmyslu. Zákazníci z jiných průmyslových odvětví mohou uznávat pouze normu ISO 27001 jako důkaz systému ISMS.

DQS - Co pro vás můžeme udělat

DQS je váš specialista na audity a certifikace - pro systémy řízení a procesy. Díky více než 35 letům zkušeností a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem, který vám poskytne odpovědi na všechny otázky týkající se ISO 27001.

Provádíme audity podle přibližně 200 uznávaných norem a předpisů a také podle norem specifických pro jednotlivé společnosti a sdružení. Jako první německý certifikační orgán jsme v prosinci 2000 získali akreditaci pro normu BS 7799-2, předchůdce normy ISO/IEC 27001. Tato odbornost je stále výrazem našeho celosvětového úspěchu.

Rádi zodpovíme vaše dotazy

Kolik práce musíte udělat, abyste získali certifikát ISMS podle normy ISO 27001? Získejte informace zdarma a nezávazně.

Těšíme se na rozhovor s vámi.