Priemysel 4.0, tzv. štvrtá priemyselná revolúcia, znamená inteligentné prepojenie vývoja, výroby, logistiky a zákazníkov. Predstavuje množstvo informácií a údajov, ktoré majú pre organizácie často existenčnú hodnotu. Ochrana ich dostupnosti, integrity a dôvernosti je ústrednou úlohou. Informačná bezpečnosť zahŕňa všetky opatrenia, ktoré pomáhajú uvedomiť si existujúce riziká, identifikovať ich a prijať vhodné a primerané opatrenia na ich ochranu.

Bezpečnosť informácií - otázky a odpovede o norme ISO 27001

Kvôli nedostatočnému zabezpečeniu spracovania informácií utrpí len nemecké hospodárstvo každoročne škody vo výške miliárd eur. Príčiny sú komplexné a siahajú od vonkajších porúch, technických chýb, priemyselnej špionáže až po zneužitie informácií bývalými zamestnancami. Ale len tí, ktorí si uvedomujú problémy, môžu iniciovať aj vhodné opatrenia. Dobre štruktúrovaný systém riadenia informačnej bezpečnosti v súlade s medzinárodne uznávanou normou ISO 27001 je optimálnym základom pre efektívnu implementáciu komplexnej bezpečnostnej stratégie. Čo to presne znamená a čo je potrebné zohľadniť? Odpovede na dôležité otázky o norme ISO 27001 získate práve tu.

OBSAH

  • Čo je to informačná bezpečnosť?
  • Aké sú ciele ochrany informačnej bezpečnosti?
  • Čo je to systém riadenia bezpečnosti informácií?
  • Pre ktoré organizácie je norma ISO 27001 užitočná?
  • Aké sú výhody systému riadenia informačnej bezpečnosti?
  • Aká je úloha ľudí?
  • ISO 27001 - Otázky k úvodu
  • Prečo certifikácia podľa normy ISO 27001?
  • DQS - Čo pre vás môžeme urobiť

Čo je to bezpečnosť informácií?

Odpoveď na túto otázku je z hľadiska medzinárodnej rodiny noriem pre informačnú bezpečnosť ISO 2700x pomerne jednoduchá:

"Informácie sú údaje, ktoré majú pre organizáciu hodnotu."

ISO/IEC 27000:2020-06: Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Prehľad a slovník

Vidíte, že informácie sú aktívum, ktoré by sa nemalo dostať do rúk neoprávnených osôb a ktoré si vyžaduje primeranú ochranu.

Informačná bezpečnosť je teda všetko, čo súvisí s ochranou informačných aktív vašej spoločnosti. Rozhodujúcim faktorom je tu uvedomenie si rizík, ktoré v kontexte spoločnosti existujú,alebo ich odhalenie a boj proti nim vhodnými opatreniami na základe potrieb.

"Bezpečnosť informácií nie je bezpečnosť IT"

Bezpečnosť IT sa vzťahuje len na bezpečnosť nasadených technológií, a nie na podnikové aktíva, ktoré treba chrániť. Pri informačnej bezpečnosti zohrávajú podstatnú úlohu aj organizačné záležitosti, napríklad oprávnenia na prístup, zodpovednosti alebo schvaľovacie postupy, ako aj psychologické aspekty. Bezpečné IT však chránia aj informácie v podniku.

Aké sú ciele ochrany informačnej bezpečnosti?

Podľa medzinárodnej normy ISO/IEC 27001 zahŕňajú ciele ochrany bezpečnosti informácií tri hlavné aspekty:

  • Dôvernosť - ochrana dôverných informácií pred neoprávneným prístupom, či už z dôvodov zákonov o ochrane údajov alebo na základe obchodného tajomstva, na ktoré sa vzťahuje napr. zákon o obchodnom tajomstve . V tomto prípade je dôležitá úroveň dôvernosti.
  • Integrita - minimalizácia akýchkoľvek rizík, zabezpečenie úplnosti a spoľahlivosti všetkých údajov a informácií.
  • Dostupnosť - zabezpečenie prístupu a použiteľnosti pre oprávnený prístup k informáciám, budovám a systémom. To je nevyhnutné pre udržiavanie procesov.

Certifikovaná bezpečnosť informácií podľa normy ISO 27001

Chráňte svoje informácie systémom riadenia, ktorý spĺňa medzinárodné normy ✓ DQS ponúka viac ako 35 rokov skúseností s certifikáciou ✓

Kľúčové otázky o informačnej bezpečnosti

  • Aké sú hodnoty mojej spoločnosti?
  • Ktoré hodnoty spoločnosti je potrebné chrániť?
  • Akým útokom sú aktíva spoločnosti vystavené?
  • Kto má záujem na ochrane týchto informácií?
  • Aké sú vhodné opatrenia?

Čo je to systém riadenia informačnej bezpečnosti?

Systém riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001 definuje usmernenia, pravidlá a metódy na zaistenie bezpečnosti informácií, ktoré sa oplatí v organizácii chrániť. Poskytuje model na zavedenie, implementáciu, monitorovanie a zlepšovanie úrovne ochrany - v súlade so systematickým postupom cyklu PDCA (Plan-Do-Check-Act) známym z normy ISO 9001.

Cieľom je identifikovať a analyzovať potenciálne riziká a zabezpečiť ich kontrolu prostredníctvom vhodných opatrení.

Prečo je riadenie informačnej bezpečnosti dôležité?

Úspešné organizácie využívajú štruktúru a transparentnosť moderných systémov riadenia na odhaľovanie hrozieb a cielené zavádzanie súčasných bezpečnostných systémov. Základom systému riadenia informačnej bezpečnosti je bezpečnosť vašich vlastných informačných aktív, ako sú duševné vlastníctvo, finančné a personálne údaje, ako aj informácie, ktoré vám zverili zákazníci alebo tretie strany.

"Informačná bezpečnosť vždy znamená ochranu významných informácií alebo údajov, ktoré majú hodnotu."

Rizík, ktorým sú vystavené údaje hodné ochrany, je veľa. Môžu vyplývať z materiálnych, ľudských a technických bezpečnostných hrozieb. Ale len holistický, preventívny prístup systému riadenia ISMS môže riešiť celé spektrum hrozieb a zabezpečiť kontinuitu činnosti spoločnosti.

Pre ktoré organizácie je norma ISO 27001 užitočná?

Odpoveď na túto otázku je veľmi jednoduchá: pre všetky. Normu ISO 27001 možno v podstate uplatniť vo všetkých organizáciách bez ohľadu na ich typ, veľkosť a odvetvie. A: všetky organizácie využívajú výhody štruktúrovaného systému riadenia. Zavedenie systému ISMS ovplyvňujú nasledujúce faktory:

  • Požiadavky a obchodné ciele
  • Bezpečnostné potreby
  • Uplatňované obchodné procesy
  • veľkosť a štruktúra organizácie

Aké sú výhody systému riadenia informačnej bezpečnosti?

Dôležitá otázka. Norma ISO 27001 formuluje požiadavky na systematický návrh a implementáciu systému riadenia bezpečnosti informácií orientovaného na procesy. Týmto holistickým prístupom možno dosiahnuť rozhodujúce výhody:

  • Bezpečnosť citlivých informácií sa stáva neoddeliteľnou súčasťou podnikových procesov
  • Preventívne zabezpečenie cieľov ochrany dôvernosti, dostupnosti a integrity informácií
  • Zachovanie kontinuity podnikania prostredníctvom neustáleho zlepšovania úrovne bezpečnosti
  • Senzibilizácia zamestnancov a výrazné zvýšenie bezpečnostného povedomia na všetkých úrovniach spoločnosti
  • Zavedenie účinného procesu riadenia rizík
  • Budovanie dôvery u zainteresovaných strán (napr. pri výberových konaniach) prostredníctvom preukázateľne bezpečného zaobchádzania s citlivými informáciami
  • Dodržiavanie príslušných požiadaviek na dodržiavanie predpisov, väčšia bezpečnosť činností a právna istota

Ako možno potenciálne riziká riadiť?

Bezpečnostné riziká môžu vyplývať z materiálnych, ľudských a technických hrozieb. Na dosiahnutie sledovateľnej a primeranej úrovne bezpečnosti v organizácii je potrebný definovaný proces alebo metóda riadenia rizík na hodnotenie rizík, ošetrenie rizík a monitorovanie rizík. Norma ISO/IEC 27005 poskytuje dobrý návod na riadenie rizík informačnej bezpečnosti.

Akú úlohu zohrávajú ľudia?

Ľudia sú tiež rizikovým faktorom, pretože zaobchádzanie s citlivými informáciami sa týka všetkých zamestnancov a partnerov spoločnosti bez výnimky. Predstavujú zvýšené bezpečnostné riziko, či už z dôvodu neznalosti alebo ľudskej chyby. Len veľmi málo organizácií však upravuje, kto môže získať prístup k akým informáciám a ako sa s nimi má zaobchádzať.

"Novým zdrojom moci už nie sú peniaze v rukách niekoľkých, ale informácie v rukách mnohých." John Naisbitt, *1929, Američan. Futurológ

Základným predpokladom sú preto záväzné predpisy a výrazné uvedomenie si všetkých problémov informačnej bezpečnosti. Prispôsobenie podnikovej politiky alebo vypracovanie vhodnej politiky informačnej bezpečnosti sa tu považuje za nevyhnutné. Potrebná senzibilizácia zamestnancov na všetkých úrovniach (riadenia) je záležitosťou šéfa a môže sa uskutočniť napríklad prostredníctvom školení, seminárov alebo osobných rozhovorov.

ISO 27001 - otázky týkajúce sa implementácie

Na otázku, či spoločnosť už musí mať zavedený systém riadenia, napríklad podľa normy ISO 9001, možno jednoznačne odpovedať "nie". Norma ISO 27001 je všeobecná norma a - podobne ako všetky normy týkajúce sa systémov riadenia - je samostatná. To znamená, že organizácia môže kedykoľvek a nezávisle od akýchkoľvek existujúcich štruktúr zaviesť a implementovať systém riadenia bezpečnosti informácií.

Napriek tomu spoločnosti, ktoré majú systém riadenia kvality v súlade s normou ISO 9001, už vytvorili dobrý základ pre postupné zavádzanie komplexnej informačnej bezpečnosti.

Norma ISO 27001 svojou štruktúrou a prístupom vychádza z povinnej základnej štruktúry pre všetky procesne orientované normy systému manažérstva, zo štruktúry vysokej úrovne. V dôsledku toho vám ponúka možnosť jednoduchého začlenenia systému riadenia informačnej bezpečnosti do už existujúceho systému riadenia. Rovnako je možná spoločná certifikácia podľa normy ISO 27001 s normou ISO 20000-1 (riadenie služieb IT) alebo ISO 22301 (riadenie kontinuity činností) spoločnosťou DQS.

Ktoré dokumenty môžu podporiť zavedenie?

Uprednostňovaným základom na zavedenie komplexného systému riadenia informačnej bezpečnosti je medzinárodná skupina noriem ISO/IEC 2700x. Je určená na podporu organizácií všetkých typov a veľkostí pri zavádzaní a prevádzke ISMS. Stupeň implementácie v organizácii možno overiť prostredníctvom interného auditu.

Užitočné súčasti série noriem sú

  • ISO/IEC 27000:2018: Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Prehľad a slovník
  • ISO/IEC 27001:2013: Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Požiadavky
  • ISO/IEC 27002:2013: Informačné technológie - Bezpečnostné techniky - Kódex postupov pre kontroly informačnej bezpečnosti
  • ISO/IEC 27003:2017: Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Návod
  • ISO/IEC 27004-2016: Informačné technológie - Bezpečnostné techniky - Riadenie informačnej bezpečnosti - Monitorovanie, meranie, analýza a hodnotenie
  • ISO/IEC 27005:2018: Informačné technológie - Bezpečnostné techniky - Riadenie rizík informačnej bezpečnosti

Všetky predpisy sú k dispozícii na webovej stránke ISO.

ISO 27001 - Otázky týkajúce sa pracovníka pre bezpečnosť IT?

Vyžaduje norma ISO 27001 pracovníka zodpovedného za bezpečnosť IT? Odpoveď je "áno".

Jednou z úloh v rámci systému riadenia informačnej bezpečnosti je vymenovanie pracovníka pre bezpečnosť IT vrcholovým manažmentom. Pracovník pre bezpečnosť IT je kontaktnou osobou pre všetky otázky bezpečnosti IT. Mal by byť integrovaný do všetkých procesov ISMS a úzko prepojený s manažérmi IT - napríklad pri výbere nových komponentov IT a aplikácií IT.

Prečo certifikácia podľa normy ISO 27001?

Certifikácia na základe akreditovaného postupu je dôkazom, že bol zavedený systém riadenia a opatrenia na systematickú ochranu informačných aktív. Certifikátom ukazujete "čierne na bielom", že ste tento systém úspešne zaviedli a zaviazali ste sa ho neustále zlepšovať.

Certifikát DQS, ktorý je cenený na celom svete, je viditeľným vyjadrením neutrálneho hodnotenia a posilňuje dôveru vo vašu spoločnosť. Je to výhoda na trhu a poskytuje dobrý predpoklad vo výberových konaniach a pri obchodoch so zákazníkmi kritickými z hľadiska bezpečnosti, ako sú napríklad poskytovatelia finančných služieb.

ISO 27001 - Otázky týkajúce sa certifikačného procesu

Všetky systémy manažérstva, ktoré sú posudzované na základe medzinárodných pravidiel (ISO 17021) akreditovaným certifikačným orgánom, ako je DQS, podliehajú rovnakému certifikačnému procesu.

Prvotná certifikácia pozostáva z analýzy systému (audit 1. etapy) a auditu systému (audit 2. etapy), počas ktorého audítori na mieste overujú, či celý systém funguje správne a či boli implementované všetky požiadavky. Certifikát je potom platný 3 roky.

Aby bolo možné zaručiť jeho platnosť počas celého obdobia, musí sa systém manažérstva každoročne overovať. V prvom a druhom roku po vydaní certifikátu preto audítori DQS vykonávajú skrátené audity ISMS (dozorné audity), pri ktorých posudzujú napríklad účinnosť kľúčových zložiek systému alebo nápravných a preventívnych opatrení. Recertifikácia sa potom uskutočňuje po troch rokoch.

Spoločnosti, ktoré už majú existujúci systém riadenia, by mali spojiť svoje programy auditov a usilovať sa o spoločnú certifikáciu svojho integrovaného systému riadenia (IMS).

Je možná maticová certifikácia?

Maticová certifikácia je možná pre spoločnosti s viacerými pracoviskami. V zásade sa na normu ISO 27001 vzťahujú rovnaké požiadavky ako na iné normy ISO, napríklad ISO 9001 alebo ISO 14001. Spoločnosť DQS môže zabezpečiť integráciu normy ISO 27001 do existujúcich maticových postupov, t. j. spoločný externý audit s ostatnými normami.

Aké sú výhody normy ISO 27001 oproti norme TISAX?

TISAX® (Trusted Information Security Assessment Exchange) bol vyvinutý ako priemyselná norma špeciálne pre automobilový priemysel a prispôsobený špecifickým potrebám odvetvia. Základom hodnotenia TISAX® je testovací katalóg VDA Information Security Assessment (VDA ISA), ktorý okrem iného vychádza z požiadaviek noriem ISO 27001 alebo ISO 27002 a rozširuje ich o témy, ako je ochrana prototypov alebo ochrana údajov.

Ďalšie cenné poznatky nájdete na našej stránke o produkte TISAX®.

Cieľom systému TISAX® je zabezpečiť komplexnú bezpečnosť (informácií) vo všetkých fázach dodávateľského reťazca. Okrem toho registrácia v databáze zjednodušuje postup vzájomného uznávania. Systém TISAX® je však uznávaný len v automobilovom priemysle. Zákazníci z iných priemyselných odvetví môžu uznať normu ISO 27001 len ako dôkaz o systéme ISMS.

DQS - Čo pre vás môžeme urobiť

Spoločnosť DQS je váš špecialista na audity a certifikácie - pre systémy riadenia a procesy. Vďaka viac ako 35 rokom skúseností a know-how 2 500 audítorov po celom svete sme vaším kompetentným certifikačným partnerom, ktorý vám poskytne odpovede na všetky otázky týkajúce sa normy ISO 27001.

Auditujeme podľa približne 200 uznávaných noriem a predpisov, ako aj noriem špecifických pre jednotlivé spoločnosti a združenia. Boli sme prvým nemeckým certifikačným orgánom, ktorý v decembri 2000 získal akreditáciu pre normu BS 7799-2, predchodcu normy ISO/IEC 27001. Táto odbornosť je stále výrazom nášho celosvetového úspechu.

Radi vám odpovieme na vaše otázky

Koľko práce musíte vykonať, aby ste získali certifikát ISMS podľa normy ISO 27001? Získajte informácie bezplatne a nezáväzne.

Tešíme sa na rozhovor s vami.

Zobraziť viac
Zobraziť menej

Bezpečnosť informácií a riadenie rizík

Bezpečnosť informácií a riadenie rizík

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Riadenie zraniteľnosti v kontexte normy ISO 27001

Bezpečnosť informácií v organizácii

Globalizácia výroby, obchodu a služieb je poháňaná pokrokom digitalizácie. Čoraz výkonnejšie informačné technológie predstavujú pre spoločnosti veľké výzvy, pokiaľ ide o bezpečnosť informácií. V tejto súvislosti je dôležité nielen účinne chrániť vlastné know-how, ale čoraz viac aj plniť požiadavky zákazníkov a posilňovať konkurencieschopnosť prostredníctvom efektívne zavedeného systému riadenia informácií.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Incidenty informačnej bezpečnosti: Zamestnanci ako faktor úspechu

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bezpečnosť podnikových informácií: Prípadová štúdia skupiny Mubea

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Skúsenosti spoločnosti aLIVE-Service GmbH so štandardom ISMS

Normy informačnej bezpečnosti

Skupina noriem ISO/IEC 2700x je medzinárodne uznávaná séria noriem na zavedenie komplexného systému riadenia informačnej bezpečnosti. Jej jadrom je norma ISO/IEC 27001, ktorá obsahuje certifikovateľné požiadavky na identifikáciu, posudzovanie a riadenie rizík pre operácie spracovania informácií.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Normy pre informačnú bezpečnosť - prehľad

TISAX (Bezpečnosť informácií v automobilovom priemysle)

TISAX (Bezpečnosť informácií v automobilovom priemysle)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Odpovede na dôležité otázky

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Kybernetická bezpečnosť v automobilovom priemysle: Nové povinné predpisy

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Katalóg VDA ISA 5.0: Aktuálny základ pre hodnotenie TISAX®

Bezpečnosť informácií a ochrana údajov

Bezpečnosť informácií a ochrana údajov

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Ochrana údajov a bezpečnosť informácií - s normami ISO 27001 a ISO 27701

Bezpečnosť informácií verzus bezpečnosť IT

Informačná bezpečnosť verzus IT bezpečnosť

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Príloha A: Zodpovednosti a úlohy zamestnancov

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

IT bezpečnosť vs. informačná bezpečnosť - aký je medzi nimi rozdiel?

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Ciele ochrany informačnej bezpečnosti a ich význam

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Normy pre informačnú bezpečnosť - prehľad